КУРСОВОЙ ПРОЕКТ
по дисциплине «Информационная безопасность и защита информации»
на тему «Анализ и совершенствование системы информационной безопасностина факультете заочного обучения „Пермской ГСХА“
Содержание
Введение
1. Анализ информационной безопасности на предприятии
1.1 Общие сведения о предприятии
1.2 Организационная структурапредприятия
1.3 Информационные ресурсы предприятия
1.4 Угрозы информационной безопасности на предприятии
2.Совершенствование системы информационной безопасности напредприятии
2.1 Выявление недостатков в системе защиты информации
2.2 Цели и задачи формирования системы ИБ на предприятии
2.3 Предлагаемые мероприятия по улучшениюсистемы информационной безопасности организации
2.4 Эффективность предложенных мероприятий
3. Модель информационной безопасности
Заключение
Список литературы
/>Введение
Совершенствование политики информационной безопасности на предприятиях,фирмах и организациях очень важно в современном мире.
Под политикой информационной безопасности (ИБ) понимается совокупностьдокументированных управленческих решений, направленных на защиту информационныхресурсов организации.
Отсутствие современной, правильно выстроенной политики безопасностина предприятии, может привести к потере важной информации, что приводит к большимиздержкам материального характера и потере доверия со стороны клиентов организации.Поэтому необходимо уделять пристальное внимание вопросам информационной безопасности.
Тема разработки политики информационной безопасности на предприятиях,фирмах и организациях очень актуальна в современном мире. Информационная безопасность(на уровне предприятий и организаций) — это защищённость информации и поддерживающейинфраструктуры от случайных или преднамеренных воздействий естественного или искусственногохарактера, которые могут нанести недопустимый ущерб субъектам информационных отношений.
Целью курсового проекта является совершенствование системы информационнойбезопасности на факультете заочного обучения „Пермский ГСХА“.
Исходя из цели курсового проекта, можно выделить следующие задачи:
· анализ объектов защиты;
· анализ действующей системы информационной;
· выявление угроз информационной безопасности;
· выявление недостатков ИБ;
разработка рекомендаций по исправлению выявленных недостатков.
/>1. Анализ информационнойбезопасности на предприятии
1.1 Общие сведения о предприятии
»Федеральное государственное образовательное учреждениевысшего профессионального образования Пермская государственная сельскохозяйственнаяакадемия имени академика Д.Н. Прянишникова" (далее академия) оказывает услугивысшего профессионального образования в соответствии с законодательством РоссийскойФедерации и уставом, на основании лицензии и свидетельства о государственной аккредитации.Академия оказывает образовательные услуги по двум формам обучения: очной (дневной)и заочной.
Факультет заочного обучения (далее ФЗО, факультет) является структурнымподразделением Пермской ГСХА и располагается по адресу г. Пермь, ул. Петропавловская,23. Факультет действует на основании положения о факультете заочного обучения иоказывает образовательные услуги по заочной форме обучения. Основными задачами факультетаявляются:
удовлетворение потребностей личностей в интеллектуальном, культурноми нравственном развитии посредством высшего, послевузовского и дополнительного профессиональногообразования;
подготовка специалистов по договорам;
профессиональная переподготовка кадров;
распространение и популяризация научных знаний;
организация предоставления платных услуг;
координация работы кафедр, за которыми закреплены дисциплины,планирование нагрузки по заочной форме обучения.
/>1.2 Организационная структурапредприятия
Органом управления ФЗО является Учёный совет академии. Непосредственноеуправление факультетом осуществляет декан — административный глава факультета. Привременном отсутствии декана его функции выполняет заместитель декана.
Деканат — совещательный орган, предназначенный для выполнениятекущей работы по управлению факультетом. В деканат входят секретари, методистыи диспетчерская служба.
Представительства ФЗО — представительные органы факультета, расположеныв районных и сельскохозяйственных центрах Пермского края, оказывают образовательныеи другие услуги, оказываемые ФЗО, ведут работу со студентами на местах. В представительствовходят методист представительства и директор представительства, который подчиняетсядекану факультета.
Организационная структура факультета заочного обучения представленана рисунке 1.
/>
Рисунок 1. Организационная структура ФЗО
/>1.3 Информационные ресурсыпредприятия
На факультете заочного обучения преимущественно используетсяручная информационная система. Это обуславливает большое количество бумажных документов,избыточность информации. Текущие бумажные документы хранятся на рабочих местах сотрудниковфакультета.
Личные дела студентов факультета и документы не постоянного использованияхранятся в архиве. Доступ к архиву имеют секретари факультета. Другие сотрудникифакультета так же могут получить доступ к архиву.
Документы оформляются в электронном виде с помощью программыMS Office Word. Большинство таких документов хранитсянепосредственно на персональных компьютерах сотрудников факультета. Все компьютерывключены в доменную сеть предприятия. Доступ к документам может получить пользователь,зарегистрировавшийся на компьютере со своим логином и паролем.
Рабочие станции защищены средствами антивирусной защиты: антивирусомКасперского. Вирусные базы регулярно обновляются.
На факультете заочного обучения используется локальная вычислительнаясеть, интегрированная в локальную сеть «Пермской ГСХА». Администрированиемсети и разграничением прав пользователей занимается центр информатизации академии.Политика безопасности домена предписывает пользователям регулярно изменять своипароли, контролирует не повторяемость и непохожесть паролей.
В локальной сети предприятия для сотрудников факультета доступнышаблоны различных документов, так же сеть используется для обмена текущими документами.Для этого используются общие папки Windows. Доступ к общимпапкам не ограничен, каждый сотрудник академии может получать и изменять хранящиесяв них документы.
Сотрудники факультета имеют доступ в Интернет через шлюз в корпоративнойсети. С помощью электронной почты ведётся обмен документами с представительствамиакадемии.
В «Пермской ГСХА» на настоящий момент действует информационнаясистема «Абитуриент» созданная для автоматизации приёма документов у абитуриентовочного и заочного отделений, составления проходных списков, приказов о зачислениистудентов в академию. АС «Абитуриент» существенно упрощает работу приёмнойкомиссии вуза. АС «Абитуриент» хранит и работает со следующими даннымиоб абитуриентах: ФИО, паспортные данные, дата рождения, сведения о регистрации поместу жительства, место работы, телефон, результаты сдачи экзаменов, сведения ородных абитуриента. Эти данные являются персональной информацией и охраняются законом«О защите персональных данных».
Данные об абитуриентах хранятся на сервере баз данных. Доступк данным осуществляется с помощью специально разработанного пользовательского интерфейсаАС «Абитуриент». Каждый пользователь системы имеет свой логин и пароль.Все изменения, вносимые в данные конкретными пользователями, фиксируются. Серверустановлен в отделе качества академии, физический доступ к нему имеют только сотрудникиданного отдела.
1.4 Угрозы информационной безопасности на предприятии
Угроза безопасности информации — совокупность условий и факторов,создающих потенциальную или реально существующую опасность, связанную с утечкойинформации и/или несанкционированными и/или непреднамеренными воздействиями на нее.
К угрозам безопасности на факультете заочного обучения«Пермской ГСХА» можно отнести:
· информационные:
Ø несанкционированныйдоступ к информационным ресурсам;
Ø хищение информациииз архивов и баз данных;
Ø нарушениетехнологии обработки информации.
· физические:
Ø нарушениетехнологии обработки информации;
Ø хищение носителейинформации;
Ø воздействиена персонал.
· организационно правовые:
Ø использованиеустаревших программных и аппаратных средства обработки информации;
Ø отсутствиеконтроля доступа в некоторых помещения факультета.
Наиболее существенными угрозами безопасности на факультете заочногообучения являются следующие угрозы: хищение персональной информации студентов факультета,несанкционированное внесение изменений в персональную информацию студентов и личныекарточки студентов, ошибки сотрудников факультета при внесении данных в личные делаи карточки студентов.
Средства защиты информации — это совокупность инженерно-технических,электрических, электронных, оптических и других устройств и приспособлений, приборови технических систем, а также иных вещных элементов, используемых для решения различныхзадач по защите информации, в том числе предупреждения утечки и обеспечения безопасностизащищаемой информации.
На предприятии применяются следующие средства защиты:
· аппаратные:
Ø замки;
Ø защитная сигнализация;
Ø сетевые фильтры.
· программные:
Ø защита учётныхзаписей паролем;
Ø антивируснаязащита.
· организационные:
Ø пропускнаясистема.
2.Совершенствование системы информационной безопасностина предприятии
2.1 Выявление недостатков в системе защиты информации
Самым уязвим местом в системе безопасности можно назвать сотрудниковпредприятия и программно — аппаратные средства. В частности на факультете заочногообучения «Пермский» ГСХА: не выполняется резервное копирование данныхна персональных компьютерах сотрудников факультета — при отказах оборудования некоторыеважные данные могут быть потеряны; не выполняется обновление операционной системыMS Windows XP и использующегосяПО, что может привести к несанкционированному доступу к хранящейся на ПК информацииили её повреждению из-за ошибок в ПО; доступ сотрудников к ресурсам Интернета неконтролируется, из-за этого может произойти утечка данных; деловая электронная перепискаведётся через Интернет по незащищённым каналам, сообщения электронной почты хранятсяна серверах почтовых служб в Интернете; некоторые сотрудники имеют недостаточныенавыки работы с автоматизированными системами, используемыми в академии, что можетпривести к появлению в системе неверных данных; сотрудники имеют доступ к персональнымкомпьютерам своих коллег, что по неосторожности может привести к потере данных;доступ в архив имеют все сотрудники факультета, в результате чего некоторые личныедела могут быть потеряны или их поиск может занять длительное время; отсутствуютнормативные документы по безопасности. 2.2 Цели и задачи формирования системы ИБ на предприятии
Главной целью системы информационной безопасности является обеспечениеустойчивого функционирования объекта, предотвращение угроз его безопасности, защитазаконных интересов предприятия от противоправных посягательств, недопущение разглашения,утраты, утечки, искажения и уничтожения служебной информации и персональной информации,обеспечение нормальной производственной деятельности всех подразделений объекта.
Другой целью системы информационной безопасности является повышениекачества предоставляемых услуг и гарантий безопасности.
Задачи формирования системы информационной безопасности в организацииявляются: целостность информации, достоверность информации и ее конфиденциальность.При выполнении поставленных задач, цель будет реализована.
Создание систем информационной безопасности в ИС и ИТ основываетсяна следующих принципах:
Системный подход к построению системы защиты, означающий оптимальноесочетание взаимосвязанных организационных, программных, аппаратных, физических идругих свойств, подтвержденных практикой создания отечественных и зарубежных системзащиты и применяемых на всех этапах технологического цикла обработки информации.
Принцип непрерывного развития системы. Этот принцип, являющийсяодним из основополагающих для компьютерных информационных систем, еще более актуалендля СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, апотому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывныйпроцесс, заключающийся в обосновании и реализации наиболее рациональных методов,способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узкихи слабых мест, потенциальных каналов утечки информации и новых способов несанкционированногодоступа.
Разделение и минимизация полномочий по доступу к обрабатываемойинформации и процедурам обработки, т.е. предоставление, как пользователям, так исамим работникам ИС, минимума строго определенных полномочий, достаточных для выполненияими своих служебных обязанностей.
Полнота контроля и регистрации попыток несанкционированного доступа,т.е. необходимость точного установления идентичности каждого пользователя и протоколированияего действий для проведения возможного расследования, а также невозможность совершениялюбой операции обработки информации в ИТ без ее предварительной регистрации.
Обеспечение надежности системы защиты, т.е. невозможность сниженияуровня надежности при возникновении в системе сбоев, отказов, преднамеренных действийвзломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.
Обеспечение контроля за функционированием системы защиты, т.е.создание средств и методов контроля работоспособности механизмов защиты.
Обеспечение всевозможных средств борьбы с вредоносными программами.
Обеспечение экономической целесообразности использования системызащиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угрознад стоимостью разработки и эксплуатации СИБ.
2.3 Предлагаемые мероприятия по улучшению системы информационнойбезопасности организации
Выявленные недостатки на предприятии требуют их устранения, поэтомупредлагается проведение следующих мероприятий.
· регулярное резервное копирование данных (текущих документов, списковгрупп в электронном виде) на персональных компьютерах сотрудников предотвратит потерюданных из-за сбоев дисков, отключения электропитания, воздействия вирусов, внесенииневерных изменений в документы;
· использовать встроенные в операционную систему и другие программныепродукты средства автоматического обновления во избежание угрозы несанкционированногодоступа к ПК;
· использовать потоковую фильтрацию Интернет трафика сотрудников факультетаи блокировать его для предотвращения передачи конфиденциальных данных;
· использовать корпоративный почтовый сервер для ведения деловой переписки,обмена документами с другими сотрудниками академии и представительствами;
· проводить тренинги среди сотрудников по повышению компьютерной грамотностии обучения работы с автоматизированными системами предприятия;
· ограничение доступа в архив для не профильных сотрудников — толькосекретари должны иметь доступ архив;
· разработка нормативного документа «Меры защиты информации в Пермской»ГСХА" и ответственность за их нарушения", который бы соответствовалидействующему законодательству РФ и определит риски, нарушения и ответственностьза эти нарушения (штрафы, наказания). А также внесения соответствующей графы в трудовойдоговор, что сотрудник ознакомлен и обязуется выполнять положения данного документа.
2.4 Эффективность предложенных мероприятий
Предложенные меры несут в себе не только положительные моменты,такие как устранение основных проблем на предприятии, касающихся информационнойбезопасности. Но при этом они потребуют дополнительных вложений на обучение персонала,разработку нормативных документов, касающихся политики безопасности. Потребует дополнительныхзатрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческийфактор, форс-мажорные обстоятельства. Но если такие меры не предпринять затратына восстановление информации, потерянные возможности по стоимости превзойдут тезатраты, что требуются для разработки системы безопасности.
При реализации предложенных мер могут быть достигнуты следующиерезультаты:
· повышение надежности системы ИБ организации;
· повышение уровня владения ПК персонала;
· уменьшение риса потери и несанкционированного изменения информации;
· наличие нормативного документа определяющего политику безопасности.
/>3. Модель информационнойбезопасности
В модели безопасности представлены защищаемые объекты, угрозы,которым они подвергаются, их источники и методы защиты.
В качестве объектов рассматриваются материально-технические средства,персональные данные, документы.
На объекты могут воздействовать следующие угрозы: хищение (какматериально-технических средства, так и персональных данных), несанкционированныйдоступ к документам и персональным данным, нарушение целостности информации (можетбыть вызвано как преднамеренным внесением изменений в информацию, так и не квалифицированнымидействиями персонала), отказы программно-аппаратных средств (могут вызвать потерюданных).
В качестве источников угроз выступают антропогенные источники,т.е. персонал факультета, студенты факультета, злоумышленники; техногенные источники- технические и программные средства обработки информации; стихийные источники угроз- пожары, наводнения и др.
Методы защиты разделены на нормативные документы (законодательныеакты, должностные инструкции и др.), организационно технические меры (политики информационнойбезопасности, должностные инструкции), программно технические (шифрование данных,доступ с парольной защитой, контроль доступа и др.), организационные (пропускнаясистема, физический контроль доступа в помещения).
В результате применения указанных методов защиты к защищаемымобъектам на выходе получаем защищённые объекты.