Совершенствование системы информационной безопасности на предприятии ООО "Нива" Уинского района

Курсовой проект

по дисциплине: "Информационная безопасность"

на тему:

"Совершенствование системы информационной безопасности на предприятии ООО "Нива" Уинского района"

Содержание

Введение

Глава 1 Анализ системы информационной безопасности на предприятии

1.1 Характеристика предприятия

1.2 Организационная структура предприятия

1.3 Служба по вопросам защиты информации

1.4 Анализ и характеристика информационных ресурсов предприятия

1.5 Угрозы информационной безопасности характерные для предприятия

1.6 Методы и средства защиты информации на предприятии

Глава 2 Совершенствование СИБ

2.1 Недостатки в системе защиты информации

2.2 Цель и задачи системы информационной безопасности

2.3 Мероприятия и средства по совершенствованию системы информационной безопасности

2.4 Эффективность предложенных мероприятий

Глава 3 Модель информационной системы с позиции безопасности

Заключение

Список использованной литературы

Введение

Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.

Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.

Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".

Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.

Политика информационной безопасности - свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков - процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.

Конечная цель разработки политики информационной безопасности - обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.

Обследуемое предприятие ООО "Нива" циркулирует большое количество информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью будет являться разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации будут минимальны.

Приемы и способы исследования

При изучении всей структуры предприятия использовались следующие методы:

аналитический;

сбор документов;

интервьюирование.

Аналитический метод - основан на анализе собранной информации за конкретный период. Он включает: анализ конкретного рабочего процесса, разделение его на элементы, проектирование рациональных режимов работы оборудования, организации труда и необходимых затрат времени по элементам трудового процесса, установление норм на операции.

Сбор (изучение) документооборота - сбор документов осуществлялся на всех этапах проведения обследования. Документы являются обоснованием и обеспечением создаваемой модели деятельности и документооборота.

Интервьюирование - важнейший и необходимый метод обследования, только с его помощью возможно разобраться во всех тонкостях применяемых на предприятии технологий. Современное предприятие - сложнейшая система, как оно функционирует, не знает ни один человек. Интервьюирование являлось наиболее сложной задачей: необходимо найти контакт с сотрудником и направить беседу в необходимое для аналитика русло.

На основе собранной информации проводился анализ информационной безопасности предприятия.

Глава 1. Анализ системы информационной безопасности на предприятии 1.1 Характеристика предприятия

Объектом обследования является предприятие ООО "Нива", входящее в структуру Агрохолдинга ООО "Управляющая компания "Ашатли", г. Пермь. Агрохолдинг состоит из следующих составляющих:

1)  Молочное животноводство

1.  ООО "Нива" Уинский район

2.  ООО "Горы" Осинский район

3.  ООО "АгроСепыч" Верещагинский район

2)  Переработка молочного сырья

1. ООО "Нива" Уинский район

3)  Растениеводство (кормозаготовка, овощи открытого грунта, семеноводство)

4.  ООО "Михино" Ординский район

4) Тепличное направление (овощи закрытого грунта, зелень, розы)

5. ООО "Тепличный комбинат", г. Чайковский

5) Мясное направление (откорм, убой, переработка)

6. ООО "Очерское мясо" Очерский район

6) Земельное направление (управление землями)

7. ООО "Жемчужина", г. Пермь

7. ООО "Ашатли Инвест", г. Пермь

Подробное географическое расположение объектов представлено на рис.1.1.

Рисунок 1.1 - Географическое расположение объектов агрохолдинга "Ашатли"

Общество с ограниченной ответственностью "Нива" Уинского района Пермской области образовано 1 января 2002 года на базе бывшего подразделения ПСХ "Нива" предприятия "Пермтрансгаз", именуемое в дальнейшем "Общество". До 21 сентября 2005 года учредителями Общества являлись предприятие "Пермтрансгаз" и директор ООО "Нива" Зомарев Иван Дмитриевич, а начиная с 21 сентября 2005 года единственным учредителем становится ООО "Тулым". Общество создано в соответствии с законодательством РФ, и действует на основании настоящего Устава и законодательства Российской Федерации. Общество имеет расчетный счет в банке, круглую печать со своим наименованием, эмблему, штампы, бланки и другие реквизиты. Предприятие имеет самостоятельный баланс.

Юридический и почтовый адрес: 617530 Пермский край, Уинский район, село Аспа, улица Молодежная-1а.

Землепользование Общества расположено в западной части Уинского района. Административно-хозяйственный центр - с. Аспа. Расстояние до районного центра с. Уинское - 18 километров, до железнодорожной станции города Чернушка - 45 километров, до областного центра город Пермь - 200 километров. Связь с пунктами сдачи сельскохозяйственной продукции и железнодорожной станцией осуществляется автомобильным транспортом по дороге с асфальтовым покрытием.

Организационная структура представляет собой совокупность производственных, вспомогательных и обслуживающих подразделений. Основной формой организации труда является производственная бригада, состав которых и численность зависят от направления цеха, принятой технологии и уровня механизации.

Цели и виды деятельности

Основными видами деятельности Общества являются производство молока, мяса, зерна. Хозяйство имеет свой молочный завод, где занимается переработкой молока, производя сыр, масло, творог, сметану.

Общество занимается семеноводством зерновых культур и многолетних трав.

Основной целью деятельности общества является следующие:

извлечение прибыли;

расширение и развитие производства;

выпуск качественной продукции.

Миссии и ценности компании

Миссия общества:

активно развиваемся,

несем инновации в сельское хозяйство,

заботимся о здоровье людей.

Главной целью является развитие, расширение и стремление достичь высших результатов в сельскохозяйственной деятельности, применяя современные технологии, используя научно-технический прогресс, при этом не забывая о здоровье людей. Выпускаемая продукция должна соответствовать всем требованиям качества и полезности, при этом быть доступной для всех категорий граждан (приемлемые цены).

Ценности компании:

лидерство, ответственность, командность.

Каждый работник должен обладать лидерскими качествами, умением принимать правильное и быстрое решение, быть ответственным. Ведь только при едином сплоченном коллективе возможно достижение поставленных целей.

1.2 Организационная структура предприятия

Организационная структура ООО "Нива" (приложение А) сформированная с целью обеспечения достижения целей Общества, построена по линейно-функциональному признаку. Предприятие осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации и Уставом предприятия.

Руководителем является управляющий директор. В подчинении у управляющего директора находятся главный бухгалтер, главный экономист, главный агроном, начальник цеха молочного животноводства, начальник молочного завода, главный инженер и главный строитель. Заместители управляющего директора, контролируют работу управлений, которым подчинены различные отделы. Каждый отдел подчиняется начальнику отдела и действует строго в соответствии с пунктом 4 "ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ" правил внутреннего трудового распорядка УК "Ашатли".

1.3 Служба по вопросам защиты информации

Конкретная служба по защите информации на предприятии отсутствует. Поэтому ответственность за защищаемую информацию несет специалист по управлению персоналом. Данная документация обрабатываются путем строгого контроля изъятия и возвращения документов под расписку уполномоченного работника. За информацию, относящуюся к коммерческой тайне, несут ответственность следующие служащие предприятия: начальники, бухгалтера, экономисты, инженеры.

1.4 Анализ и характеристика информационных ресурсов предприятия

Исследуемое предприятие содержит следующие информационные ресурсы:

информация, относящаяся к коммерческой тайне:

·  заработная плата,

·  договоры с поставщиками и покупателями,

·  технологии производства;

защищаемая информация:

·  личные дела работников,

·  трудовые договора,

·  личные карты работников,

·  содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,

·  прочие разработки и документы для внутреннего пользования;

открытая информация:

·  буклеты,

·  информация на web-сайте www.ashatli-agro.ru,

·  учредительный документ,

·  устав,

·  прайс-лист продукции.

1.5 Угрозы информационной безопасности характерные для предприятия

 

Угрозы и уязвимости на предприятии

 

1.  Автоматизированное рабочее место сотрудника

Угроза	Уязвимости
1. Физический доступ нарушителя к рабочему месту	1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам
	2. Отсутствие системы видеонаблюдения на предприятии
2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации	1. Отсутствие соглашения о неразглашении между работником и работодателем
	2. Нечеткая регламентация ответственности сотрудников предприятия
3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов	1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети

2.   Конфиденциальная информация

Угроза	Уязвимости
1. Физический доступ нарушителя к носителям	1. Неорганизованность контрольно-пропускного режима в организации
	2. Отсутствие видеонаблюдения в организации
2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны	1. Отсутствие соглашения о неразглашении конфиденциальной информации
	2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации
3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации	1. Нечеткая организация конфиденциального документооборота в организации
	2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.

1.  Угрозами доступности информации являются:

разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);

отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.

Мерами предотвращения данных угрозы может являться следующее:

-   Установка программы антивируса.

-   Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.

-   Установка аварийных источников бесперебойного питания.

-   Подвод электроэнергии не менее от двух независимых линий электропередачи.

-   Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.

2.  Угрозами целостности информации являются:

нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;

потеря информации на жестких носителях;

угрозы целостности баз данных;

угрозы целостности программных механизмов работы предприятия.

Мерами предотвращения данной угрозы может являться следующее:

-   Введение и частая смена паролей.

-   Использование криптографических средств защиты информации.

3.  Угрозами конфиденциальности являются:

кражи оборудования;

делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;

открытие портов;

установка нелицензионного ПО;

злоупотребления полномочиями.

Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:

1.  Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет;

2.  Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;

3.  Внутренний отказ информационной системы, т.е. отказ программного или аппаратного обеспечения, повреждение аппаратуры;

4.  Угрозы технического характера;

5.  Угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях;

6.  Несанкционированный доступ к информации (использование ресурсов без предварительно полученного разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации;