Содержание
1. Теоретические аспекты процессов IT-Security.
1.1 Понятие информационной безопасности. Место информационной безопасности в системе экономической безопасности предприятия.
1.2 Методы обеспечения информационной безопасности. Принципы построения системы информационной безопасности .
1.3 Электронная цифровая подпись. Удостоверяющие центры.
2. Исследование процессов защиты информации в ПАО “Автоваз”
2.1 Краткая характеристика политики информационной безопасности в ПАО”Автоваз”
2.2 Принципы организации защищенного электронного документооборота в ПАО”Автоваз”
2.3 Совершенствование политики и мехонизма взаимоотношений службы безопасности с IT-подразделением ПАO “Автоваз”
Введение
Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.
Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.
Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. При этом целями защиты информации являются:
- предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям;
- предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.
Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.
Политика информационной безопасности - свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков - процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.
Конечная цель разработки политики информационной безопасности - обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.
Исследуемое предприятие ПАО "Автоваз" циркулирует большое количество информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью будет являться рассмотрение системы информаионной безопасности ПАО "Автоваз" и предложение мер по защите информации, при реализации которых угрозы утечки конфиденциальной информации будут минимальны.
Введение 2
Отличительной особенностью современного производства, как в России, так и в других странах является все возрастающая зависимость от информационных ресурсов и технологий и, как следствие этого, увеличение проблем в области информационной безопасности.
Деятельность любого учреждения нельзя представить без процесса получения самой разнообразной информации, ее обработки вручную или с использованием средств вычислительной техники (СВТ), принятия на основе анализа данной информации каких-либо конкретных решений и передачи их по каналам связи. Но следует понимать, что компьютеризация, кроме очевидных и широко рекламируемых выгод, несет с собой, во-первых, значительные затраты усилий и ресурсов, а во-вторых, многочисленные проблемы.
Информация только тогда становиться полезной, когда представлена в форме, доступной для восприятия и обработки. Искажение информации, блокирование процесса ее получения или внедрение ложных сведений способствует принятию ошибочных решений. Одной из проблем – и притом одной из наиболее сложных проблем – является проблема обеспечения безопасной обработки критичной информации в автоматизированных системах. Именно последнее десятилетие ознаменовалось значительным усилением внимания к проблемам защиты информации. Этот интерес имеет под собой объективную основу. С одной стороны в стране появилась коммерческая тайна, скорректированы сущность и подходы к защите государственной тайны, появилась необходимость в уточнении понятий и определении границ других видов тайны. С другой стороны резко возросло значение информации, в том числе и в первую очередь требующей защиты. Сущность защиты информации неразрывно связана с целями защиты, так как содержательная часть защиты зависит от ответа на вопрос: зачем, ради чего должна защищаться информация.
Центральной проблемой защиты информации в последнее десятилетие практически повсеместно является предупреждение несанкционированного получения информации в системах обработки, построенных на базе современных средств электронно-вычислительной техники.
Итак основная цель данной работы заключается в раскрытии вопроса информационной безопасности предприятия
Выделяются следующие задачи курсовой работы:
Выявление проблемы защиты информации в компьютерной технике и выведение классификации угроз безопасности данных
Раскрытие вопроса о политике информационной безопасности
Раскрытие вопроса касающегося методов и средств защиты данных на предприятии «Автоваз»
1. Теоретические аспекты процессов IT-Security.
1.1. Понятие информационной безопасности. Место информационной безопасности в системе экономической безопасности предприятия.
Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры .
Информационная безопасность организации – состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
• Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
• Целостность – избежание несанкционированной модификации информации;
• Доступность – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Выделяют и другие не всегда обязательные категории модели безопасности:
неотказуемость или апеллируемость – невозможность отказа от авторства;
• подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность – свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Предметом работы являются автоматизированные системы. Под автоматизированной системой обработки информации (АС) понимают совокупность следующих объектов:
1. средств вычислительной техники;
2. программного обеспечения;
3. каналов связи;
4. информации на различных носителях;
5. персонала и пользователей системы.
Информационная безопасность АС рассматривается как состояние системы, при котором:
1. Система способна противостоять дестабилизирующему воздействию
внутренних и внешних угроз.
2. Функционирование и сам факт наличия системы не создают угроз для внешней
среды и для элементов самой системы.
На практике информационная безопасность обычно рассматривается как
совокупность следующих трёх базовых свойств защищаемой информации:
− конфиденциальность, означающая, что доступ к информации могут получить
только легальные пользователи;
− целостность, обеспечивающая, что во-первых, защищаемая информация
может быть изменена только законными и имеющими соответствующие
полномочия пользователями, а во-вторых, информация внутренне
непротиворечива и (если данное свойство применимо) отражает реальное
положение вещей;
− доступность, гарантирующая беспрепятственный доступ к защищаемой
информации для законных пользователей.
Деятельность, направленную на обеспечение информационной безопасности,
принято называть защитой информации.
Развитие сектора информационных технологий, неотъемлемым элементом которых являются базы данных, рассматривается как безусловный стратегический национальный приоритет абсолютно во всех доктринальных, концептуальных и программных документах, принятых в последние годы.
Согласно Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 года, утвержденной распоряжением Правительства Российской Федерации от 17 ноября 2008 года № 1662-р (далее – Концепция), одним из вызовов является переход к формированию новой технологической базы экономических систем, основанной на использовании новейших достижений в области информатики. Ответ на этот вызов - инновационный сценарий, направленный на формирование новой экономики, или экономики знаний и высоких технологий, в число которых входят информационные технологии.
При этом в отношении сектора информационных технологий Концепция определяет такие цели, как повышение качества жизни граждан, развитие экономической, социально-политической и культурной сфер жизни общества, а также совершенствование системы государственного управления.
В народнохозяйственном плане «классическими» эффектами от применения информационных технологий является существенное сокращение транзакционных издержек в экономике за счет стандартизации процессов/среды взаимодействия и рост производительности труда. Помимо этого, уменьшаются непродуктивные расходы (например, переход к предоставлению государственных услуг в электронном виде экономит около 25 миллионов часов рабочего времени в год за счет отказа от необходимости посещения различных органов власти или существенного сокращения очередей), оптимизируется структура и объем затрат на обеспечение деятельности органов власти.
Как подчеркивается в Концепции, в период до 2020 года наибольшее влияние на уровень экономической конкурентоспособности и национальную безопасность будет оказывать прогресс в информационно-коммуникационных технологиях. Также ставится задача расширения позиций российских компаний на мировых высокотехнологичных рынках, превращение высокотехнологичных производств и отраслей экономики знаний в значимый фактор экономического роста.
В свою очередь, Стратегия инновационного развития Российской Федерации на период до 2020 года утверждает, что общий экономический рост и темпы инновационного развития будут все более взаимосвязаны. С одной стороны, инновационное развитие (обеспечиваемое, в том числе, за счет информационных технологий) превратится в основной источник экономического роста в результате повышения производительности труда и эффективности производства во всех секторах экономики, расширения рынков и повышения конкурентоспособности продукции, создания новых отраслей, наращивания инвестиционной активности, роста доходов населения и объемов потребления. Предполагается, что инновационное развитие обеспечит дополнительные 0,8 процентных пункта ежегодного экономического роста сверх инерционного сценария развития, начиная с 2015 года. С другой стороны, экономический рост расширит возможности для появления новых продуктов и технологий, позволит государству увеличить инвестиции в развитие человеческого капитала (прежде всего в образование и фундаментальную науку), а также в поддержку инноваций, что окажет мультиплицирующее воздействие на темпы инновационного развития.
1.2. Методы обеспечения информационной безопасности. Принципы построения системы информационной безопасности .
Выделяют следующие методы обеспечения информационной безопасности :
1. Теоретические методы. В ним относят формализацию процессов, связанных с обеспечением информационной безопасности; обоснование корректности и адекватности систем обеспечения информационной безопасности.
2. Организационные методы. К ним относится управление информационной безопасностью на предприятии.
3. Правовые методы. Они подразумевают : ответственность, защита авторских прав, работа с государственной тайной, лицензирование и сертификация.
4. Инженерно-технические методы. К ним относится защита от утечки по техническим каналам.
5. Сервисы сетевой безопасности. Они включают в себя: идентификация и аутентификация, разграничение доступа, протоколирование и аудит, средства защиты периметра, криптографические средства защиты.
Сервисы сетевой безопасности представляют собой механизмы защиты
информации, обрабатываемой в распределённых вычислительных системах и сетях.
Инженерно–технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам – например, за счёт перехвата электромагнитного излучения или речевой информации. Правовые и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности.
Теоретические методы обеспечения информационной безопасности [3], в свою очередь, решают две основных задачи. Первая из них – это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе – а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача – строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.
Идентификация и аутентификация
Под идентификацией принято понимать присвоение субъектам
доступа уникальных идентификаторов и сравнение таких идентификаторов с перечнем возможных. В свою очередь, аутентификация понимается как проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности.
Тем самым, задача идентификации – ответить на вопрос «кто это?», а аутентификации - «а он ли это на самом деле?».
Всё множество использующих в настоящее время методов аутентификации
можно разделить на 4 большие группы:
1. Методы, основанные на знании некоторой секретной информации.
Классическим примером таких методов является парольная защита, когда в
качестве средства аутентификации пользователю предлагается ввести пароль –некоторую последовательность символов. Данные методы аутентификации
являются наиболее распространёнными.
2. Методы, основанные на использовании уникального предмета. В качестве
такого предмета могут быть использованы смарт-карта, токен, электронный
ключ и т.д.
3. Методы, основанные на использовании биометрических характеристик
человека. На практике чаще всего используются одна или несколько из
следующих биометрических характеристик:
- отпечатки пальцев;
- рисунок сетчатки или радужной оболочки глаза;
- тепловой рисунок кисти руки;
- фотография или тепловой рисунок лица;
- почерк (роспись);
- голос.
Наибольшее распространение получили сканеры отпечатков пальцев и
рисунков сетчатки и радужной оболочки глаза.
4. Методы, основанные на информации, ассоциированной с пользователем.
Примером такой информации могут служить координаты пользователя, определяемые при помощи GPS. Данный подход вряд ли может быть использован в качестве единственного механизма аутентификации, однако
вполне допустим в качестве одного из нескольких совместно используемых
механизмов.
Широко распространена практика совместного использования нескольких из
перечисленных выше механизмов – в таких случаях говорят о многофакторной аутентификации.
Особенности парольных систем аутентификации.
При всём многообразии существующих механизмов аутентификации, наиболее распространённым из них остаётся парольная защита. Для этого есть несколько причин, из которых мы отметим следующие:
- Относительная простота реализации. Действительно, реализация механизма
парольной защиты обычно не требует привлечения дополнительных
аппаратных средств.
- Традиционность. Механизмы парольной защиты являются привычными для
большинства пользователей автоматизированных систем и не вызывают психологического отторжения – в отличие, например, от сканеров рисунка
сетчатки глаза.
В то же время для парольных систем защиты характерен парадокс, затрудняющий их эффективную реализацию: стойкие пароли мало пригодны для использования человеком.
Действительно, стойкость пароля возникает по мере его усложнения; но чем сложнее пароль, тем труднее его запомнить, и у пользователя появляется искушение записать неудобный пароль, что создаёт дополнительные каналы для его дискредитации.
Под разграничением доступа принято понимать установление полномочий субъектов для полследующего контроля санкционированного использования ресурсов, доступных в системе. Принято выделять два основных метода разграничения доступа: дискреционное и мандатное.
Дискреционным называется разграничение доступа между поименованными
субъектами и поименованными объектами. На практике дискреционное разграничение доступа может быть реализовано, например, с использованием матрицы доступа.
Мандатное разграничение доступа обычно реализуется как разграничение
доступа по уровням секретности. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. При этом все ресурсы АС должны быть классифицированы по уровням секретности.
Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем: если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет его владелец, то в случае мандатного разграничения доступа уровни секретности задаются извне, и владелец ресурса не может оказать на них влияния. Сам термин «мандатное» является неудачным переводом слова mandatory – «обязательный». Тем самым, мандатное разграничение доступа следует понимать как принудительное.
Заказывала дипломную, прочитав отзывы vip-study .ru Сделали хорошо на 80% оригинальности. Но преподаватель, несмотря на методичку, сказал, что нужно аж 85%! А это нереально, так как были подсвечены только сноски и список литературы с фамилиями и названиями учебников. На https://vip-study. ru сказали, что фамилии авторов и названия учебников отрерайтить не возможно. Не будут же они менять Александра Пушкина на Сашко Гарматного))). Пришлось заказывать повышение на этом сайте. Мне добавили 5%, но я даже не поняла как. По тексту, сноскам, литературе ничего не поменялось, даже А.С. Пушкин остался на месте! Преподаватель проверил в ворде, но не поверил в 85%, так как тоже ничего не заметил сверхнового в литературе и перевел в PDF. В ПДФ тоже вышло 85%, и только после этого допустили к защите. Выражаю огромную благодарность сайтам vip-study ru и 5555455.ru за помощи и поддержку. Отдельное спасибо девочкам за прошлогодние отзывы, которые мне помогли дойти до защиты!
Превосходная работа! Нашел этот сайт именно по отзывам о повышении в PDF формате. Действительно все работает. Делают то, что никто не умеет. Я отправил работу в ворде для повышения %, указав в заказе - повысить для пдф. Мне вернули также в ворде. Я перевел в ПДФ и случилось чудо! Как и обещали 75% на самой жесткой проверке Антиплагиат.ВУЗ!
Благодарю за работу. Качественно повысили до 87% даже в таком редком формате, как PDF. Преподаватель ничего не заметил. Цена оптимальна, по сравнению с дешевыми неработающими вариантами.
Спасибо за проделанную работу! Помогли повысить Антиплагиат вуз ВКР Вуз Антиплагиат показал около 80% и 5% цитирования. До корректировки было около 40% и 15% соответственно. Интересно, что практически не видно изменений, все укладывается в рамки нормоконтроля, а процент при этом в 2 раза выш, чем был изначально. Работу писала сама. Хорошо, что есть такие сервисы, с помощью которых есть гарантия успешной защиты, а так бы весь труд пошел насмарку.
Спасибо за повышение для личного кабинета! Это реально первый сервис, который помог с повышением для личного кабинета. Прошел на 78%!
Спасибо огромное!! Очень выручили)) Рекомендую!
Нужен был безумный % по оригинальности - 90%. Что только не делала, хотя первоначальный вариант имел уже хороший уровень-70%. И вот, я правила ручками (подбирая синонимы) - не помогло, "Антиплагиат" эту писанину просто не пропустил. Затем заказала повышение % в одной фирме через интернет, у них получился перекошенный текст, на который платный антиплагиат вообще выдал ошибку и предупреждающую рамку. Потом случилось чудо, я случайным образом нашла ваши контакты и буквально за несколько часов был сделан идеально проходящий антиплагиат текст. Я дождалась результатов официальных, все просто замечательно, антиплагиат пройден и он составил 97%. Не реклама, я реальный заказчик!
Спасибо получилось 81,34%
Огромное еще раз спасибо...до связи......Михаил
Большое спасибо за помощь, за считанные часы помогли обработать текст, Оригинальность более 74 %. Всем советую!
Клевая компания! Я мучилась с антиплагиатом почти 2 недели и все бестолку. % почти не менялся. Помогли повысить за 1 день до 77%. Огромное спасибо!