Российской Федерации Государственного образовательного учреждения Высшего профессионального образования Тюменский государственный университет Институт математики и компьютерных наук Кафедра информационной безопасности курсовая

Вид материала

Курсовая

Содержание 1.Что угрожает информационной безопасности 3 2.Органы, обеспечивающие информационную безопасность 6 4.Сущность коммерческой информации. 6.Законы российской федерации в сфере информационной безопасности. 26 Список литературы 33 Цели: Исследовать ремонтное предприятие на предмет проблем информационной безопасности, и предложить пути решения этих проблем. Информационная безопасность 1.Что угрожает информационной безопасности. 1.1.Действия, осуществляемые авторизованными пользователями 1.2."Электронные" методы воздействия, осуществляемые хакерами 1.3.Компьютерные вирусы 1.5."Естественные" угрозы 2.Органы, обеспечивающие информационную безопасность 3.СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 3.1.Организационно-технические Organizational security policy Mandatory access control, MAC Discretionary access control, DAC Role Based Access Control, RBAC UPS-Uninterruptible Power Supply 4.Сущность коммерческой информации. ... Полное содержание

Подобный материал:

• Отчет по самообследованию дополнительной профессиональной программы для получения дополнительной, 317.2kb.
• Международный опыт правового регулирования информационной безопасности и его применение, 523.44kb.
• Учебное пособие Челябинск 2004 Челябинский институт (филиал) Государственного образовательного, 1000.58kb.
• Правовое обеспечение информационной безопасности при построении информационного общества, 626.88kb.
• Приказ от 15 июля 2009 г. N 543 об утверждении устава федерального государственного, 864.71kb.
• Оскаровна Дидактические условия развития способности к импровизации у студентов среднего, 365.98kb.
• Новые материалы для органических светоизлучающих диодов на основе производных 1,3,4,-оксадиазола, 249.54kb.
• Южно-российский институт-филиал федерального государственного бюджетного образовательного, 32.54kb.
• Конституции Российской Федерации, Гражданского кодекс, 124.14kb.
• Основная образовательная программа высшего профессионального образования направление, 1516.04kb.

Министерство образования и науки Российской Федерации Государственного образовательного учреждения Высшего профессионального образования

Тюменский государственный университет Институт математики и компьютерных наук

Кафедра информационной безопасности


Курсовая работа по специальности

на тему «Исследование информационной безопасности на ремонтном предприятии»


Выполнили:

Студент группы № 367

Марков Сергей Сергеевич

Руководитель:

ст. преподаватель

Нестерова Ольга Андреевна


Дата сдачи: ___________

Оценка: ______________


Тюмень 2009 г.

СОДЕРЖАННИЕ

ВВЕДЕНИЕ 2

1.ЧТО УГРОЖАЕТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 3

1.1. Действия, осуществляемые авторизованными пользователями 3

1.2."Электронные" методы воздействия, осуществляемые хакерами 3

1.3. Компьютерные вирусы 4

1.4. Спам 5

1.5."Естественные" угрозы 5

2.ОРГАНЫ, ОБЕСПЕЧИВАЮЩИЕ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ 6

3.СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7

3.1.Организационно-технические 7

3.2.Программно-технические 9

4.СУЩНОСТЬ КОММЕРЧЕСКОЙ ИНФОРМАЦИИ.

НЕОБХОДИМОСТЬ ЕЁ ЗАЩИТЫ 17

4.1.Виды коммерческой информации 17

4.2.Необходимость зашиты информации 19

5.МЕРЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАИОННОЙ БЕЗОПАСНОСТИ НА РЕМОНТНОМ ПРЕДПРИЯТИИ 21

5.1. Организационные меры 24

5.2. Технические меры. 25

6.ЗАКОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. 26

6.1.Федеральный закон "Об обеспечении информационной безопасности" 26

6.2.Уголовный кодекс Российской федерации 30

ЗАКЛЮЧЕНИЕ 32

СПИСОК ЛИТЕРАТУРЫ 33


ВВЕДЕНИЕ

Защита информации в XXI веке - слагаемые успеха любой организации. С развитием компьютеров и их широким распространением, а также с развитием всемирной сети интернет. Проблема - защиты информации становилась все серьезней. Рост числа пользователей компьютерами и всемирной сетью интернет растет с каждым годом в нашей стране. Увеличивается количество компьютерных преступлений. Крупные компании каждый год несут большие финансовые потери, связанные с хищением конфиденциальной и иной информации. Причин активизации компьютерных преступлений достаточно много, существенными из них являются: переход от традиционной "бумажной" технологии хранения и передачи сведений на электронную и плохом при этом развитии технологии защиты информации. Любое современное предприятии, для успешного развития, должно отдавать ключевую роль защите информации. Многие руководители предприятий и компаний не имеют, четкого представления по вопросам защиты информации. Это приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. Что ведет к большим потерям предприятия, и в связи с этим предприятие страдает от недостаточной защищенности важных данных.

Актуальность: Проблема защиты информации в наши дни стоит очень остро. Исследование проблем защиты очень актуально в XXI веке.

Цели: Исследовать ремонтное предприятие на предмет проблем информационной безопасности, и предложить пути решения этих проблем.

Задачи: 1)Рассмотреть всевозможные варианты утечки информации на предприятии, выявить проблемные области.

2) Изучить методы борьбы с потерей информации.

3)Выявить наиболее подходящие методы защиты для данного предприятия.

Информационная безопасность — защита конфиденциальности, целостности и доступности информации.
Примечания.

1. Конфиденциальность: обеспечение доступа к информации только авторизованным пользователям.
   
2. Целостность: обеспечение достоверности и полноты информации и методов ее обработки.
   
3. Доступность: обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
   

1.ЧТО УГРОЖАЕТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий.

1.1.Действия, осуществляемые авторизованными пользователями

В эту категорию попадают:

• целенаправленная кража или уничтожение данных на рабочей станции или сервере;
  
• повреждение данных пользователем в результате неосторожных действий.
  

1.2."Электронные" методы воздействия, осуществляемые хакерами

Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся:

• несанкционированное проникновение в компьютерные сети;
  
• DOS-атаки.
  

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т. п.

Атака типа DOS (сокр. от Denial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т. п.

1.3.Компьютерные вирусы

Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.


1.4. Спам

Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности:

• электронная почта в последнее время стала главным каналом распространения вредоносных программ;
  
• спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;
  
• как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);
  
• вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других "грубых" методов фильтрации спама.
  

1.5."Естественные" угрозы

На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные обстоятельства и т. д.

(rsky.ru/corporatesolutions?chapter=145504889)

2.ОРГАНЫ, ОБЕСПЕЧИВАЮЩИЕ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

• Комитет Государственной думы по безопасности;
  
• Совет безопасности России;
  
• Федеральная служба по техническому и экспортному контролю (ФСТЭК);
  
• Федеральная служба безопасности Российской Федерации (ФСБ России);
  
• Министерство внутренних дел Российской Федерации (МВД России);
  
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
  

Службы, организующие защиту информации на уровне предприятия

• Служба экономической безопасности;
  
• Служба безопасности персонала (Режимный отдел);
  
• Отдел кадров;
  
• Служба информационной безопасности.
  

(ссылка скрыта)

3.СРЕДСТВА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1.Организационно-технические

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

• Защита объектов информационной системы;
  
• Защита процессов, процедур и программ обработки информации;
  
• Защита каналов связи;
  
• Подавление побочных электромагнитных излучений;
  
• Управление системой защиты.
  

При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

1. Определение информационных и технических ресурсов, подлежащих защите;
   
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
   
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
   
4. Определение требований к системе защиты;
   
5. Осуществление выбора средств защиты информации и их характеристик;
   
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
   
7. Осуществление контроля целостности и управление системой защиты.
   

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, ее стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться "Концепция ИБ", "Регламент управления ИБ", "Политика ИБ", "Технический стандарт ИБ" и т.п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях - для внешнего и внутреннего использования. Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: "Концепция обеспечения ИБ", "Правила допустимого использования ресурсов информационной системы", "План обеспечения непрерывности бизнеса".

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т.п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

3.2.Программно-технические

В литературе предлагается следующая классификация средств защиты информации.

• Средства защиты от несанкционированного доступа (НСД):
  
  • Средства авторизации;
    

Авторизация (англ. authorization) — процесс предоставления определенному лицу прав на выполнение некоторых действий.

• Мандатное управление доступом;
  

Мандатное управление доступом (англ. Mandatory access control, MAC) — разграничение доступа субъектов к объектам, основанное на назначении метки конфиденциальности для информации, содержащейся в объектах, и выдаче официальных разрешений (допуска) субъектам на обращение к информации такого уровня конфиденциальности.

• Избирательное управление доступом;
  

Избирательное управление доступом (англ. Discretionary access control, DAC) — управление доступом субъектов к объектам на основе списков управления доступом или матрицы доступа.

• Управление доступом на основе ролей;
  

Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) — развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли. Роль — В информационных системах практикуется регистрация ролей, с которыми сопоставляется с одной стороны комплект прав доступа, необходимых для выполнения конкретных функций, а с другой стороны — подмножество пользователей, которые должны иметь эти права. Применяется для облегчения управления доступом, вместо назначения отдельных прав персонально каждому пользователю.

• Аудит.
  

Аудит (аудиторская проверка) — независимая проверка с целью выражения мнения о достоверности. Слово «аудит» в переводе с латинского означает «слушание» и применяется в мировой практике для обозначения проверки. Под аудитом понимают всякую выполняемую независимым экспертом проверку какого-либо явления или деятельности — здесь различают операционный, технический, экологический и прочие разновидности аудита. Отдельные виды аудита близки по значению к сертификации.

• Системы анализа и моделирования информационных потоков (CASE-системы).
  

• Системы мониторинга сетей:
  
  • Системы обнаружения и предотвращения вторжений (IDS/IPS).
    

Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин — Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которое может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы
  
• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров
  
• хранилище, обеспечивающее накопление первичных событий и результатов анализа
  
• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты
  

• Анализаторы протоколов.
  

• Антивирусные средства.
  

Антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux-системы, Novell) на процессорах различных типов.

• Межсетевые экраны.
  

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов - проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

• Криптографические средства:
  
  • Шифрование;
    

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств).

• Цифровая подпись.
  

Электро́нная цифрова́я по́дпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе, а также обеспечивает неотказуемость подписавшегося .

• Системы резервного копирования.
  

Резервное копирование (англ. backup) — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном месте их расположения в случае их повреждения или разрушения.

• Системы бесперебойного питания:
  
  • Источники бесперебойного питания;
    

Исто́чник бесперебо́йного пита́ния, (ИБП) (англ. UPS-Uninterruptible Power Supply) — автоматическое устройство, позволяющее подключенному оборудованию некоторое (как правило — непродолжительное) время работать от аккумуляторов ИБП, при пропадании электрического тока или при выходе его параметров за допустимые нормы. Кроме того, оно способно корректировать параметры (напряжение, частоту) электропитания. Часто применяется для обеспечения бесперебойной работы компьютеров. Может совмещаться с различными видами генераторов электроэнергии.

• Резервирование нагрузки;
  
• Генераторы напряжения.
  

Электри́ческий генера́тор — это устройство, в котором неэлектрические виды энергии (механическая, химическая, тепловая) преобразуются в электрическую энергию.

• Системы аутентификации:
  

Аутентифика́ция (англ. Authentication) проверка принадлежности субъекту доступа предъявленного им идентификаторы подтверждение подлинности.

• Пароль;
  

Пароль (фр. parole — слово) — это секретное слово или набор символов, предназначенный для подтверждения личности или полномочий. Пароли используются для защиты информации от несанкционированного доступа. В большинстве вычислительных систем комбинация «имя пользователя — пароль» используется для удостоверения пользователя.

• Сертификат;
  

Сертификат (сертификат открытого ключа, сертификат ЭЦП) — цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Содержит информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т. д.

Открытый ключ может быть использован для организации защищенного канала связи с владельцем двумя способами:

• для проверки подписи владельца (аутентификация)
  
• для шифрования посылаемых ему данных( конфиденциальность)
  

• Биометрия.
  

Биометрия (англ. Biometrics) —технология идентификации личности, использующая физиологические параметры субъекта (отпечатки пальцев, радужная оболочка глаза и т. д.).

Обычно при классификации биометрических технологий выделяют две группы систем по типу используемых биометрических параметров. Первая группа систем использует статические биометрические параметры: отпечатки пальцев, геометрия руки, сетчатка глаза и т.п. Вторая группа систем использует для идентификации динамические параметры: динамика воспроизведения подписи или рукописного ключевого слова, голос и т.п.

• Средства предотвращения взлома корпусов и краж оборудования.
  

• Средства контроля доступа в помещения.
  

• Инструментальные средства анализа систем защиты:
  
  • Мониторинговый программный продукт.
    

Мониторинговый программный продукт — это программное обеспечение (модуль), предназначенное для наблюдения за вычислительными системами, а также позволяющее фиксировать деятельность пользователей и процессов, использование пассивных объектов, и однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и/или обеспечения ответственности за определенные действия.

(dia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C)


4.СУЩНОСТЬ КОММЕРЧЕСКОЙ ИНФОРМАЦИИ.

НЕОБХОДИМОСТЬ ЕЁ ЗАЩИТЫ


4.1.Виды коммерческой информации

Коммерческая информация — это сведения с сложившейся ситуации на рынке различных товаров и услуг. Сюда относят количественные и качественные показатели торговой деятельности фирмы (коммерческой структуры, торгового предприятия и т. п.), различные сведения и данные о коммерческой деятельности (цены, поставщики, конкуренты, условия поставок, расчеты, ассортимент товаров и др.)

В соответствие с Федеральный Закон N 149-ФЗ от 27 июля 2006 года
“Об Информации, информационных технологиях и о защите информации ”

назначение коммерческой информации состоит в том, что она позволяет торговым организациям (предприятиям) проводить анализ своей коммерческой деятельности, планировать её, осуществлять контроль за результатами этой деятельности (эффективностью работы).

Коммерсанту для успешной работы необходима коммерческая информация. Ему нужна постоянная информация о клиентах, конкурентах, дилерах Оперативные данные для анализа, планирования, контроля. Рыночная ситуация постоянно меняется или может измениться в любую минуту. И если не налажено непрерывное поступление (обновление) информационных данных, фирма может вовремя не отреагировать на те или иные изменения а значит, не избежать самых явных последствий. Тот, кто владеет информацией, действует, что называется, с открытыми глазами и способен как пред­видеть неожиданности, так и противостоять им. Известная пословица “Кто предупреждён тот вооружен ”

Любой коммерсант Российской фирмы, прежде чем отве­тить на вопрос "Каково положение конкретного товара на рынке?", обратится к базе данных об этом товаре, занесен­ной в компьютер или в сеть, к которому он имеет постоян­ный доступ. Информация о товаре непрерывно пополняется вновь поступившими сведениями, поэтому нет опасности получить устаревшие данные. Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (из закона РФ «О коммерческой тайне»). Также коммерческой тайной именуют саму информацию, которая составляет коммерческую тайну, то есть, научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны. Обладатель информации имеет право отнести её к коммерческой тайне, если эта информация отвечает вышеуказанным критериям и не входит в перечень информации, которая не может составлять коммерческую тайну (ст.5 закона «О коммерческой тайне»). Чтобы информация получила статус коммерческой тайны, её обладатель должен исполнить установленные процедуры (составление перечня, нанесение грифа и некоторые другие). После получения статуса коммерческой тайны информация начинает охраняться законом. За разглашение (умышленное или неосторожное), а также за незаконное использование информации, составляющей коммерческую тайну, предусмотрена ответственность —дисциплинарная, гражданско-правовая, административная и уголовная.

4.2.Необходимость зашиты информации

Хорошая идея ценнее кошелька, набитого золотом, а украсть ее легче. Поэтому в современном мире промышленный шпионаж приобретает поистине гигантский размах. По оценкам экспертов, ежегодный урон Российского и американского бизнеса от кражи производственных и торговых секретов превышает 4 млрд. долл. Поэтому коммерческую информацию нужно и необходимо защищать.

Любые меры по защите информации должны быть обоснованы с экономически финансовой точки зрения. Конфиденциальность не может стоить дороже тех сведений, которые защищаются. Поэтому прежде чем вводить режим коммерческой тайны, руководству фирмы с участием бухгалтерии и ведущих специалистов нужно оценить экономический эффект, который даст засекречивание информации (величину потенциальной прибыли или предотвращенного ущерба), и сопоставить его с возможными потерями от ее открытого использования.

С конца 80-х начала 90-х годов проблемы связанные с защитой информации беспокоят как специалистов в области компьютерной безопасности так и многочисленных рядовых пользователей персональных компьютеров. Это связано с глубокими изменениями вносимыми компьютерной технологией в нашу жизнь. Изменился сам подход к понятию «информация». Этот термин сейчас больше используется для обозначения специального товара который можно купить, продать, обменять на что-то другое и т.д. При этом стоимость подобного товара зачастую превосходит в десятки, а то и в сотни раз стоимость самой вычислительной техники, в рамках которой он функционирует.

Естественно, возникает потребность защитить информацию от несанкционированного доступа, кражи, уничтожения и других преступных действий. Однако, большая часть пользователей не осознает, что постоянно рискует своей безопасностью и личными тайнами. И лишь немногие хоть каким либо образом защищают свои данные. Пользователи компьютеров регулярно оставляют полностью незащищенными даже такие данные как налоговая и банковская информация, деловая переписка и электронные таблицы. Проблемы значительно усложняются, когда вы начинаете работать или играть в сети так как хакеру намного легче в это время заполучить или уничтожить информацию, находящуюся на вашем компьютере.


5.МЕРЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАИОННОЙ БЕЗОПАСНОСТИ НА РЕМОНТНОМ ПРЕДПРИЯТИИ

На ремонтном предприятии нужно защищать коммерческую информацию, так как предприятие занимается коммерческой деятельностью, предоставляет услуги по ремонту автомобилей. Также нужно защищать коммерческую тайну, так как у предприятия возможны свои ноу-хау в области ремонта автомобилей.

Мероприятия по защите коммерческой информации включают:

определение информации, нуждающейся в защите;

• фиксацию мест ее накопления;
  
• персональное назначение сотрудников, ответственных за хранение конкретных сведений;
  
• систематический контроль за сохранностью информации и обеспечением мер по ее защите.
  

Система обеспечения информационной безопасности имеет свои особенности предусматривает:

• систематический контроль за офисными помещениями и офисным оборудованием в целях защиты от хищения информации;
  

- работу с персоналом начиная с кладовщиков, кассиров и заканчивая менеджерами всех уровней управления (инструктирование вновь принятых по правилам защиты информации; обучение работе с документами, имеющими коммерческую тайну; материальное и моральное стимулирование соблюдения коммер­ческой тайны; заключение соответствующих договоров о неразгла­шении коммерческой тайны; профилактические беседы с увольняющимися;

• организацию работы с документами на бумажных носителях, содержащими коммерческую тайну (установление порядка делопроизводства, снятия режима секретности и процедуры уничтожения документов; создание условий для защиты электронной информации от несанкционированного доступа.
  
• Основные направления защиты – это обеспечения защиты коммерческой тайны
  

Защиту коммерческих тайн предприятия в процессе заключения контрактов с поставщиками и клиентами. При заключении контрактов целесообразно включать в них пункт о том, что поставщик (контрагент) обязуется держать в секрете всю информацию, содержащуюся в договоре. Обязательной мерой по обеспечению режима коммерческой тайны является заключение заинтересованными лицами должным образом оформленных соглашений о конфиденциальности или иных подтверждающих обязательство о неразглашении коммерческой тайны договоров. Дополнительными мерами могут быть: установление специального порядка доступа к сведениям, составляющим коммерческую тайну; проставление специального грифа на документах, содержащих указанные сведения; ограничение круга физических лиц, имеющих доступ к указанным сведениям. Рекомендуется на документах с конфиденциальной информацией делать отметку о том, что изложенные в документе сведения являются частной собственностью фирмы, подлежат защите и возвращению владельцу. Также полезно заключать соглашение о сохранении коммерческой тайны с фирмами, оказывающими сервисные услуги, в первую очередь установку и ремонт компьютерного оборудования. Специальные меры, предназначенные для защиты информации, подразделяются на внешние и внутренние.

Внешние меры включают сбор информации о финансовом состоянии, общественном мнении, деловой репутации бизнес партнеров. Главная цель этих мер — выяснить, можно ли им доверять конфиденциальную коммерческую информацию, если можно, то в какой степени. Особенно важно установить, не является ли партнер потенциальным конкурентом.

Внутренние мероприятия по защите коммерческой информации начинаются с проверки лиц, принимаемых на работу. Изучается не только стандартный набор сведений, сообщаемых в анкете, но и, по возможности, отзывы с предыдущих мест работы, причины увольнения, наличие судимостей и другие стороны, характеризующие личные и деловые качества соискателя. Для менеджеров среднего и высшего звеньев проводить психологические тесты. Рекомендуется постоянно контролировать персонал и выявлять людей, которые проявляют повышенный интерес к коммерческим сведениям, не имеющим отношения к выполняемым ими функциональным обязанностям.

Удвоенное внимание следует уделять защите информации, представленной в электронном виде, так как ее легко похитить, причем, факт хищения трудно отследить. Следовательно, физический носитель информации (документ в бумажном виде или дискета) должен иметь определенное место хранения, недоступное для других лиц, каждый компьютер — защищен паролем, известным только пользователю и руководству фирмы. Весьма эффективной мерой защиты помещений является использование электронных замков.

Важную роль в защите информации играют технические средства.тКонтроль за возможным прослушиванием телефон­ных линий осуществляют анализаторами. С их помощью измеряют электрическое сопротивление линии. Отличие его от нормативной величины свидетельствует о вероятной утечке информации. Есть специальные приборы, которые позволяют определить наличие подслушивающих устройств в помещении. Особенно это важно при проведении деловых переговоров.

Кроме прямого похищения коммерческой информации происходит и утечка информации, при этом наиболее вероятными ее источниками являются:

• персонал, имеющий доступ к информации;
  
• документы, содержащие эту информацию;
  
• технические средства и системы обработки информа­ции, в том числе линии связи, по которым она передается.
  

Зная это, файлы необходимо изучать тщательно изучать биографию особо важных сотрудников. Следует обратить при­стальное внимание как на вновь пришедших на работу, так и на тех, кто подлежит увольнению. Эти люди находятся в ситуациях, наиболее благоприятных для утечки информации. Поэтому в Японии поощряется работа сотрудников в одной фирме всю жизнь.

Возможными источниками утечки коммерческой тайны могут стать конгрессы, конференции. Здесь всегда могут быть профессионалы про­мышленного шпионажа (они хорошо знают, что самые луч лучшие источники коммерческой и научно-технической информации — болтуны).

Утечка информации может иметь и техническую основу (утрата информации из компьютера, пропажа документов, тайное копирование секретной информации с документа, с дискеты на дискету, якобы снятая "лично для себя", и т. п.).

Защитить коммерческую тайну можно с помощью организационных и технических мер.

5.1. Организационные меры.

Создание службы безопасности на ремонтном предприятии и ограничение допуска сотрудников к документам, содержа­щим секретную информацию. Служба безопасности должна следить за тем, чтобы не допускалось ознакомления отдельных посторонних лиц с секретными документами, контрастирует хранение финансовых: документов, деловой переписки, используя для этого сейфы, сложные замки, сигнализацию во всех коммерческих помещениях, решетки, металлические двери, организуется платная охрана и т. д.

Служба безопасности должна проводить воспитательно-профилактическую работу с персоналом, включая обучение и инструктаж персонала, заключать письменные договоры-обязательства о неразглашении коммерческой тайны, организует пропускной режим на предприятии.

5.2. Технические меры защиты коммерческой тайны.

Технические меры охватывают комплекс специальных технических средств по сокрытию информации. Например, с помощью экранирования излучений ЭВМ, зашумления телефонных сетей, нанесения матовых покрытий на окна. Технические системы охраны включают в себя электромеханические, акустические, радиотехнические, магнитометрические средства.


6.ЗАКОНЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.

6.1.Федеральный закон "Об обеспечении информационной безопасности"

Статья 5. Обеспечение государственной и общественной безопасности в информационной сфере.

Полномочия по обеспечению государственной и общественной безопасности в информационной сфере реализуются Президентом, Правительством РФ, Федеральной службой безопасности, Министерством обороны, Министерством внутренних дел, органами Федеральной службы безопасности РФ, Прокуратурой РФ.


Статья 6. Обеспечение безопасности личности в информационной сфере

Безопасность личности в информационной сфере обеспечивается путем создания условий для свободной реализации и защиты информационных прав граждан, обеспечения защиты личной тайны и иной принадлежащей гражданам конфиденциальной информации, защиты от правонарушений в области информационной безопасности, включая защиту от злоупотребления правами в информационной сфере.

Статья 7. Обеспечение безопасности функционирования информационных и телекоммуникационных систем

Обеспечение безопасности функционирования информационных и телекоммуникационных систем производится путем установления требований к надежности и безопасности используемых в таких системах аппаратных и программных средств, проверки соответствия указанным требованиям, лицензирования отдельных видов деятельности по созданию и поддержке информационных и телекоммуникационных систем, установления ограничений на приобретение и использование отдельных видов аппаратных и программных средств, используемых в информационных и телекоммуникационных системах.

Статья 8. Обеспечение информационной безопасности при распространении массовой информации

Обеспечение информационной безопасности при распространении массовой информации осуществляется путем защиты от злоупотреблений свободой массовой информации и иных нарушений законодательства средствами массовой информации.

Статья 9. Обеспечение защиты информации

Государственное регулирование в области защиты информации осуществляется путем установления условий использования мер ограничения доступа к информации, оснований и мер ответственности за нарушение установленных мер ограничения доступа к информации.

Статья 10. Обеспечение права на доступ к информации

Свободная реализация установленных законом прав граждан, организаций, государственных органов на доступ к необходимой для них информации является необходимым условием обеспечения информационной безопасности.

Статья 11. Основные права граждан и организаций по обеспечению информационной безопасности.

Граждане и организации вправе принимать любые не запрещенные законом меры по обеспечению информационной безопасности, при условии соблюдения требований, установленных статьей 12 настоящего Федерального закона.


Статья 12. Пределы осуществления и защиты прав в информационной сфере

Граждане и организации при осуществлении и защите своих прав в информационной сфере не должны нарушать права и свободы других лиц.

Статья 13. Злоупотребление правами в информационной сфере

Осуществление и защита прав и свобод граждан и организаций в информационной сфере, нарушающие установленные законом пределы осуществления и защиты прав, признаются злоупотреблением правами в информационной сфере. Злоупотреблением правами признаются, в частности: пропаганда насилия, социальной, национальной, религиозной и расовой вражды, распространение информации, способной причинить вред здоровью или имуществу, иной информации, распространение которой запрещено законом.

Статья 14. Информирование о принимаемых мерах по обеспечению информационной безопасности.

Граждане и организации обязаны предпринимать действия, указывающие на наличие ограничений на доступ к информации и ее распространение.

Статья 15. Меры ограничения доступа к информационным ресурсам и системам и последующей передачи полученной из таких ресурсов информации.

Обладатель информационного ресурса (системы) вправе по своему усмотрению принимать правовые, организационные и технические меры ограничения доступа к принадлежащему ему ресурсу (системе), если такие меры прямо не запрещены законом. Такие ограничения являются обязательными для лиц, осуществляющих доступ к информации.

Статья 16. Ограничения на распространение информации третьими лицами и ограничение доступа к распространяемой ими информации.

Распространяемая информация должна содержать достоверные сведения о ее распространителе, позволяющие его однозначно идентифицировать.

Статья 17. Виды конфиденциальной информации

Обеспечение информационной безопасности предусматривает необходимость защиты следующих видов конфиденциальной информации:

1) Информации о частной жизни лица и персональных данных

2) Коммерческой тайны

3) Служебной тайны

4) Профессиональной тайны

5) Тайны следствия и судопроизводства

6) Государственной тайны

Статья 18. Защита информации о частной жизни лица.

Каждый имеет право на защиту информации о своей частной жизни, включая право на неприкосновенность частной жизни от постороннего вмешательства и (или) контроля, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на личную тайну, свободу выражения мнения, свободу мысли, совести и вероисповедания.

Статья 19. Защита персональных данных.

Персональными данными признается зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным гражданином или которая может быть отождествлена с конкретным гражданином, позволяющая идентифицировать этого гражданина прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности.

Статья 20. Защита коммерческой тайны.

Коммерческой тайной является научно-техническая, технологическая, производственная информация, в том числе секреты производства (ноу-хау), финансово-экономическая и иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и обладатель которой принимает правовые, организационные и технические меры для ограничения доступа к ней.

Статья 21. Защита служебной тайны.

Статья 22. Обеспечение безопасности сведений, составляющих профессиональную тайну

Сведения, составляющие адвокатскую, журналистскую, врачебную, банковскую, страховую и иную профессиональную тайну, являются конфиденциальной информацией и не могут распространяться иначе как в случаях и порядке, установленных федеральным законом.

(anlaw.net/law/acts/z38.htm)

6.2.Уголовный кодекс Российской федерации

Статья 272. Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ

Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред


(ltant.ru/popular/ukrf/10_38.php">

ЗАКЛЮЧЕНИЕ

В данной курсовой работе, мы ставили задачи изучить проблемы безопасности информационных систем. Мы рассмотрели наиболее вероятные угрозы и обще меры ликвидации их. Изучили законы Российской Федерации контролирующие информационную безопасность.

На примере ремонтного предприятия мы рассмотрели реально возможные ситуации по краже информации, изучили уязвимые места информационных систем, предложили общие методы их решения.


Список литературы

1. ссылка скрыта – Свободная энциклопедия.
   
2. ссылка скрыта – Концепция информационной безопасности.
   
3. ссылка скрыта - Типовая система защиты конфиденциальной информации на коммерческих предприятиях.
   
4. anlaw.net/law/acts/z38.php"> - Федеральный закон "Об обеспечении информационной безопасности".
   
5. ссылка скрыта - "УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ".
   
6. Осипова Л.В., Синяева И.М. Основы коммерческой деятельности: Учебник для вузов. — 2-е изд., перераб. и доп. — М.: ЮНИТИ-ДАНА, 2000. — 623 с.