Исследуемое предприятие содержит следующие информационные ресурсы:
информация, относящаяся к коммерческой тайне:
· заработная плата,
· договоры с поставщиками и покупателями,
· технологии производства;
защищаемая информация:
· личные дела работников,
· трудовые договора,
· личные карты работников,
· содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,
· прочие разработки и документы для внутреннего пользования;
открытая информация:
· буклеты,
· информация на web-сайте www.ashatli-agro.ru,
· учредительный документ,
· устав,
· прайс-лист продукции.
Угрозы и уязвимости на предприятии
1. Автоматизированное рабочее место сотрудника
Угроза
Уязвимости
1. Физический доступ нарушителя к рабочему месту
1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам
2. Отсутствие системы видеонаблюдения на предприятии
2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации
1. Отсутствие соглашения о неразглашении между работником и работодателем
2. Нечеткая регламентация ответственности сотрудников предприятия
3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов
1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети
2. Конфиденциальная информация
1. Физический доступ нарушителя к носителям
1. Неорганизованность контрольно-пропускного режима в организации
2. Отсутствие видеонаблюдения в организации
2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны
1. Отсутствие соглашения о неразглашении конфиденциальной информации
2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации
3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации
1. Нечеткая организация конфиденциального документооборота в организации
2. Неконтролируемый доступ сотрудников к копировальной и множительной технике
На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.
1. Угрозами доступности информации являются:
разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);
отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.
Мерами предотвращения данных угрозы может являться следующее:
§ Установка программы антивируса.
§ Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.
§ Установка аварийных источников бесперебойного питания.
§ Подвод электроэнергии не менее от двух независимых линий электропередачи.
§ Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.
2. Угрозами целостности информации являются:
нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;
потеря информации на жестких носителях;
угрозы целостности баз данных;
угрозы целостности программных механизмов работы предприятия.
Мерами предотвращения данной угрозы может являться следующее:
§ Введение и частая смена паролей.
§ Использование криптографических средств защиты информации.
3. Угрозами конфиденциальности являются:
кражи оборудования;
делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;
открытие портов;
установка нелицензионного ПО;
злоупотребления полномочиями.
Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:
1. Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет;
2. Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;
3. Внутренний отказ информационной системы, т.е. отказ программного или аппаратного обеспечения, повреждение аппаратуры;
4. Угрозы технического характера;
5. Угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях;
6. Несанкционированный доступ к информации (использование ресурсов без предварительно полученного разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации;
7. Кража программно-аппаратных средств и т.д.
Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:
1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:
§ Гражданский кодекс РФ ст.139;
§ Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;
§ Закон Российской Федерации "Об информации, информатизации и защите информации";
§ Закон Российской Федерации "О коммерческой тайне".
2. Административный уровень информационной безопасности.
Политика информационной безопасности пока не утверждена.
3. Организационный уровень защиты информации.
Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.
Организационные меры защиты информации на предприятии реализованы следующим образом:
§ Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;
§ Организована работа с документами и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.
В качестве недостатков данного уровня защиты можно указать следующие факты.
Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.
Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.
Страницы: 1, 2, 3, 4
