Застосування моделі інформаційної безпеки організації

Застосування моделі інформаційної безпеки організації

МІНІСТЕРСТВО ОСВІТИ, НАУКИ, МОЛОДІ І СПОРТУ УКРАЇНИ

НАЦІОНАЛЬНИЙ АВІАЦІЙНИЙ УНІВЕРСИТЕТ

Кафедра економічної кібернетики

КУРСОВА РОБОТА

з дисциплiни "Інформаційний бізнес"

«Застосування моделі інформаційної безпеки організації»

Студентки: Шульги Ірини

група 412 ФЕП

Керiвник проекту: Іванченко Н. О.

КИЇВ

НАУ 2013 р.

Зміст

Вступ

Розділ 1. Аналіз системи інформаційної безпеки ТОВ «Ясенсвіт»

Розділ 2. Розробка моделі системи інформаційної безпеки організації

Розділ 3. Дослідження та оцінка ефективності системи інформаційної безпеки організації

Висновки

Список використаних джерел

Вступ

Надійний захист і збереження інформації є однією з основних проблем сьогодення, оскільки інформація у сучасному світі - стратегічний ресурс, що дорого коштує.

Цілями системи захисту інформації організації є:

запобігання витоку, розкраданню, спотворенню, підробці інформації;

запобігання несанкціонованим діям із знищення, модифікації, спотворення, копіювання, блокування інформації;

збереження конфіденційності документованої інформації відповідно до законодавства.

Метою роботи є розробка моделі системи інформаційної безпеки для ТОВ «Ясенсвіт».

Об'єктом дослідження є процес розробки інформаційної безпеки організації. Для того, щоб система інформаційної безпеки була ефективною і принесла корись компанії необхідно визначити три складові, які впливають на процес розробки:

. Чітке розуміння того, що підлягає захисту;

. Обізнаність про існуючі й потенційні загрози;

. Можливість попередження виникнення загроз інформаційній безпеці.

Розроблення моделі допомагає краще зрозуміти проблему безпеки інформації і створити надійну, ефективну систему захисту інформації.

Розділ 1. Аналіз системи інформаційної безпеки ТОВ «Ясенсвіт»

інформаційна безпека модель

Останнім часом питання забезпечення захисту інформації стоїть досить гостро, оскільки інформація являється не тільки важливим стратегічним ресурсом, а й об’єктом суперництва.

Інформаційні ресурси містять у собі наукові знання, високі технології, програмні продукти, бази даних. Інформаційні ресурси фірм можуть бути у вигляді окремих документів, а також масивів документів в інформаційних системах (бібліотеки, архіви, фонди, банки даних).

Розглянемо і проаналізуємо інформаційну безпеку товариства «Ясенсвіт».

Для початку дамо основну характеристику ТОВ «Ясенсвіт". Підприємство розташоване в смт. Ставище, Київської області, входить до складу групи компаній "Овостар Юніон", що є національним виробником курячого яйця, і належить до трійки лідерів ринку виробників курячих яєць країни. Слоган компанії - «Яйце, як і задумано природою!». Організація розпочала свою діяльність у 2000 році. В 2001 році відбулася юридична реєстрація та виведення на ринок національної торгової марки «Ясенсвіт». Компанія створила перше фасоване яйце в індивідуальній упаковці, яке з’явилося на ринку України.

рік - компанія набула членства в Світовій організації провідних виробників курячих яєць та яєчних продуктів «International Egg Commission».

Птахофабрики виробника сертифіковано відповідно до міжнародної системи управління якістю та безпекою продуктів відповідно до вимог ISO 9001:2008 та ISO 22000:2005 HACCP (ХАССП).

Учасниками Товариства є:

         громадянин України Беліков Борис Олександрович;

         громадянин України Вересенко Віталій Андрійович;

         Товариство з обмеженою відповідальність «ОВОСТАР ЮНІОН»

Згідно Статуту, метою та предметом діяльності товариства є одержання прибутку шляхом господарської діяльності в галузі виробництва сільськогосподарської продукції та продуктів харчування.

Основні напрямки діяльності:

·        птахівництво (батьківське поголів’я, інкубація, молодняк)

·        виробництво курячого яйця;

·        національна дистрибуція (торгівельні мережі України, власна фірмова роздрібна мережа)

·        виробництво сухих та рідких яєчних продуктів

·        виробництво соняшникової олії

·        додаткові види діяльності (виробництво комбікормів, шроту та паливних брикетів).

Птахофабрики організації розташовані в сільській місцевості на значній відстані від промислових підприємств та автомобільних магістралей. Пташники обладнанні сучасними клітками «Salmet», «Big Dutchman» та «Techna». Крім того, до складу ТОВ «Ясенсвіт» входить інкубаційна станція потужністю 4 млн. курчат на рік та дві ферми із утримання молодняку на 1 млн. птахо місць.

Компанія виробляє як білі, так і коричневі курячі яйця. Продукції реалізується через власну фірмову роздрібну мережу та понад 2000 магазинів по всій Україні.

Підприємство є новатором на українському ринку з випуску курячих яєць із додатковою цінністю - йодованого яйця, з підвищеним вмістом вітамінів, спеціального продукту для дітей (схваленого та рекомендованого Міністерством охорони здоров’я України) та екологічно чистих продуктів «Біо яйця», "Organic eggs".

Неодноразово курячі яйця ТМ «Ясенсвіт» займали найвищі місця у рейтингу найкращих за версією телепрограми «Знак якості» - єдиної незалежної програми про якість продуктів харчування в Україні, яка не співпрацює з рекламодавцями і створена виключно в інтересах споживачів на гроші провідного національного телеканалу «Інтер» за підтримки Держспоживстандарту України.

Основною перевагою товариства є вертикально інтегрована організаційна структура бізнесу рис.1.1., що забезпечує ретельний контроль за якістю всієї продукції на кожному етапі виробництва.

Рис.1.1 Вертикально-інтегрована структура бізнесу

Продукція ТМ «Ясенсвіт» широко представлена як в Україні, так і за її межами: в країнах Східної Європи, Азії та Африки. З метою ефективного управління продуктовим портфелем та власними активами підпиємство диверсифікувало канали збуту своєї продукції і реалізувало її через торговельні мережі, власну роздрібну торгівлю на продовольчих ринках, оптових покупців, канал HoReCa та експортний канал. У каналі HoReCa ТОВ «Ясенсвіт» є єдиним постачальником яєць та яєчних продуктів для мережі ресторанів «Макдональдз», «Швидко», кафе «Реприза» та багатьох інших.

Також товариство є партнером виробників майонезів та соусів ПАТ «Волиньхолдинг» (ТМ Торчин), ЗАТ «Львівський жиркомбінат» (ТМ Щедро); підприємств кондитерської промисловості «Рошен», «Конті», «АВК», «Жако»; підприємств харчової промисловості «Техноком» (ТМ Мівіна) та багатьох інших.

Куряче яйце експортується до Анголи, Грузії, Іраку, Казахстану, Камбоджі, Конго, Ліберії, Молдови, ОАЕ, Сирії, Сьєра-Леоне, Туреччини та інших країн.

Яєчні продукти ТМ «Ясенсвіт» споживаються масложировими, рибними та кондитерскими підприємствами Азербайджану, Ірану, Китаю, Кувейту, Судану, Казахстану, Молдови, Туркменістану та багатьох інших країн Східної Європи, Азії та Африки.

Та стратегічним для компанії завжди був і залишається національний ринок. Найпріоритетнішим каналом реалізації курячого яйця ТМ Ясенсвіт є продаж через роздрібні торгівельні мережі. На сьогодні продукція компанії представлена на полицях понад 2000 магазинів по всій території України. Товариство співпрацює з міжнародними торговими мережами «Метро», «Ашан», «Білла», «Фуршет», вітчизняними рітейлерами «Сільпо», «Велика Кишеня», «Новус», «АТБ», «Еко», «Край» та багатьма іншими.

За даними світової статистики, втрата тільки 20% інформації веде до руйнування 65% фірм і компаній. Докладніше розглянемо які можливі наслідки втрати інформації для ТОВ «Ясенсвіт»:

ü  розкриття комерційної інформації може привести до серйозних прямих збитків для фірми;

ü  звістка про крадіжку великого обсягу інформації серйозно впливає на репутацію компанії, приводячи до втрат в обсягах торгових операцій;

ü  фірми-конкуренти можуть скористатися крадіжкою інформації, якщо та залишилася непоміченої, для того щоб цілком розорити фірму, нав'язуючи їй фіктивні або свідомо збиткові угоди;

ü  підміна інформації як на етапі передачі, так і на етапі збереження в організації може привести до величезних збитків;

ü  багаторазові успішні атаки на фірму, що надає будь-який вид інформаційних послуг, знижують довіру до фірми в клієнтів, що позначиться на обсязі доходів.

Саме ефективне використання і захист інформаційних ресурсів визначає можливість товариства максимально повно реалізувати свій інтелектуальний і промисловий потенціал, зайняти лідерські позиції на ринку. Тому інформаційна безпека є одним з найважливіших показників надійності організації.

Для того, щоб організація працювала стабільно і досягла успіху в своїй діяльності їй необхідна ефективна система захисту інформації. На сам перед потрібно чітко розуміти, що являє собою інформаційної безпеки?

З погляду інформаційної безпеки інформація містить наступні характеристики рис.1.3.

Рис.1.3 Основні характеристики інформації

·        конфіденційність - гарантія того, що конкретна інформація доступна тільки тому колу осіб, для кого вона призначена,так порушення цієї категорії називається розкраданням або розкриттям інформації;

·        цілісність - гарантія того, що інформація існує в її вихідному виді, тобто при її збереженні або передачі не було зроблено несанкціонованих змін, порушення цієї категорії називається фальсифікацією повідомлення;

·        автентичність - гарантія того, що джерелом інформації є саме та особа, що заявлена як її автор, порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення;

·        апельованість - складна категорія часто застосовувана в електронній комерції - гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена людина, і не може бути ніхто інший. Відмінність цієї категорії від попередньої в тому, що при підміні автора, хтось інший намагається заявити, що він автор повідомлення, а при порушенні апельованості - сам автор намагається "відхреститися" від своїх слів, підписаних ним один раз;

·        доступність - можливість за прийнятний час отримати необхідну інформацію.

У відношенні до інформаційних систем застосовуються інші категорії:

·        надійність - гарантія того, що система поводиться в нормальному і позаштатному режимах так, як заплановано;

·        точність - гарантія точного і повного виконання всіх команд;

·        контроль доступу - гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктів, і ці обмеження доступу постійно виконуються;

·        контрольованість - гарантія того, що в будь-який момент може бути зроблена повноцінна перевірка будь-якого компонента програмного комплексу;

·        контроль ідентифікації - гарантія того, що клієнт, підключений у даний момент до системи, є саме тим, за кого себе видає;

·        стійкість до спеціальних збоїв - гарантія того, що при спеціальному внесенні помилок у межах заздалегідь обговорених норм, система буде поводитися так, як обговорено заздалегідь.

В свою чергу під системою інформаційної безпеки розуміється сукупність організаційних, правових, інженерно-технічних та програмних засобів, які спрямовані на забезпечення захисту інформації від розголошення, витоку і несанкціонованого доступу.

Організаційні заходи або як їх ще називають адміністративні включають в себе:

ü  створення і впровадження правил адміністрування компонентів інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

ü  складання посадових інструкцій для користувачів та обслуговуючого персоналу;

ü  розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

ü  навчання і перевірка на знання правил інформаційної безпеки користувачів.

Інженерно-технічні заходи являють собою сукупність спеціальних технічних засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищеності інформації, який потрібно забезпечити.

Правові засоби захисту - чинні закони, укази та інші нормативні акти, які регламентують правила користування інформацією і відповідальність за їх порушення, захищають авторські права програмістів та регулюють інші питання використання інформаційних технологій.

На сьогодні існують наступні правові норми, які дотримується ТОВ «Ясенсвіт», що відіграють важливу роль в створенні надійної системи захисту:

.Закон України «Про інформацію» вiд 02.10.1992 № 2657-XII - zakon.rada.gov.ua

.Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» вiд 05.07.1994 № 80/94-ВР - zakon.rada.gov.ua

.Закон України «Про захист персональних даних» вiд 01.06.2010 № 2297-VI - zakon.rada.gov.ua

. Проект Доктрини інформаційної безпеки України від 21 березня 2008 року "Про невідкладні заходи щодо забезпечення інформаційної безпеки України", введеним у дію Указом Президента України від 23 квітня 2008 року N 377.

.Постанова Кабінету міністрів України «Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави» від 27 листопада 1998 р. №1893 - zakon.rada.gov.ua

.НД ТЗІ 3.7-003-05 Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі.

.ДЕРЖАВНИЙ СТАНДАРТ УКРАЇНИ Захист інформації. Технічний захист інформації. Порядок проведення робіт. ДСТУ 3396.1-96.

.НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в автоматизованій системі.

.НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу.

.НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.

.НД ТЗІ 2.5-008-02 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу.

.НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.

Програмними засоби захисту інформації називаються спеціальні програми, що входять до складу програмного забезпечення автоматизованих систем для вирішення в них завдань захисту.

Основними цілями системи захисту інформації в ТОВ «Ясенсвіт» є:

запобігання витоку, розкраданню, спотворенню, втраті, підробці інформації;

запобігання загрозам безпеці особи, підприємства, суспільства, держави;

запобігання несанкціонованим діям із знищення, модифікації, спотворення, копіювання, блокування інформації;

запобігання іншим формам незаконного втручання в інформаційні ресурси і системи, забезпечення правового режиму документованої інформації як об'єкту власності;

захист конституційних прав громадян на збереження особистої таємниці і конфіденційності персональних даних, наявних в інформаційних системах;

збереження, конфіденційності документованої інформації відповідно до законодавства.

Досягнення цілей системи інформаційної безпеки можливе за умов вирішення таких основних завдань:

визначення переліку цінної інформації та рівня її критичності;

прогнозування та своєчасне виявлення загроз безпеки інформаційних ресурсів, причин і умов, що сприяють нанесенню фінансового, матеріального і морального збитку;

створення умов функціонування з найменшою вірогідністю реалізації загроз безпеці інформаційних ресурсів і нанесення різних видів збитків;

створення механізму та умов оперативного реагування на загрози інформаційної безпеки і прояву негативних тенденцій у функціонуванні, ефективне припинення зазіхань на ресурси на основі правових, організаційних і технічних заходів і засобів забезпечення безпеки;

створення умов для максимально можливого відшкодування та локалізації збитків, спричинених неправомірними діями фізичних та юридичних осіб, ослаблення негативного впливу наслідків порушення інформаційної безпеки на досягнення стратегічних цілей [2].

Система захисту інформації виконує такі функції:

ü  забезпечення цілісності прикладного та системного програмного забезпечення і оброблюваної інформації;

ü  захист комерційної таємниці, у тому числі з використанням сертифікованих засобів криптозахисту;

ü  створення захищеного електронного документообігу з використанням сертифікованих засобів криптоперетворень та електронного цифрового підпису;

ü  централізоване керування системою захисту інформації, реалізоване на робочому місці адміністратора інформаційної безпеки;

ü  захищений віддалений доступ мобільних користувачів на основі використання технологій віртуальних приватних мереж;

ü  управління доступом;

ü  забезпечення ефективного антивірусного захисту.

Організація захисту на фізичному рівні повинна зменшити можливість несанкціонованих дій сторонніх осіб та персоналу підприємства, а також знизити вплив техногенних джерел.

Захист на технологічному рівні спрямована на зменшення можливих проявів загроз безпеці інформації, пов'язаних з використанням неякісного програмного продукту і технічних засобів обробки інформації та некоректних дій розробників програмного забезпечення. Система захисту на цьому рівні повинна бути автономною, але забезпечувати реалізацію єдиної політики безпеки і будуватися на основі використання сукупними захисних функцій вбудованих систем захисту операційної системи і систем управління базами даних і знань.

На локальному рівні організується поділ інформаційних ресурсів інформаційної системи на сегменти за ступенем конфіденційності, територіальним та функціональним принципом, а також виділення в окремий сегмент засобів роботи з конфіденційною інформацією.

На мережевому рівні потрібно організувати захищений інформаційний обмін між автоматизованими робочими місцями, в тому числі віддаленими і мобільними, і створити надійну оболонку по периметру інформаційної системи в цілому. Система захисту інформації на цьому рівні повинна будуватися з урахуванням реалізації захисту попередніх рівнів.

На рівні користувача вимагається забезпечити допуск тільки авторизованих користувачів до роботи в інформаційній системі, створити захисну оболонку навколо її елементів, а також організувати індивідуальну середу діяльності кожного користувача.

Побудувати надійну систему захисту неможливо без попереднього аналізу можливих загроз безпеки системи. Цей аналіз повинен включати в себе:

• виявлення характеру зберігається в системі інформації, виділення найбільш небезпечних загроз (несанкціоноване читання, несанкціонована зміна і т.д.);

• оцінку витрат часу та коштів на розтин системи, допустимих для зловмисників;

• оцінку цінності інформації, що зберігається в системі;

• побудова моделі зловмисника (іншими словами, визначення того, від кого треба захищатися - від сторонньої особи, користувача системи, адміністратора і т.д.);

• оцінку допустимих витрат часу, засобів і ресурсів системи на організацію її захисту.

Загрозами інформаційній безпеці називаються потенційні джерела небажаних подій, які можуть завдати шкоди ресурсам інформаційної системи.

Як правило, загрози інформаційної безпеки розрізняються за способом їх реалізації. Виходячи з цього можна виділити такі основні класи загроз безпеки, направлених проти інформаційних ресурсів рис.1.5.

Рис.1.5 Класи загроз інформаційної безпеки організації

. Загрози з використанням програмних засобів. Найбільш численний клас загроз конфіденційності, цілісності і доступності інформаційних ресурсів пов'язаний з отриманням внутрішніми і зовнішніми порушниками логічного доступу до інформації з використанням можливостей, що надаються загальносистемним і прикладним програмним забезпеченням.

Результатом здійснення цих загроз являється несанкціонований доступ до даних, керуючої інформації, що зберігається на робочому місці адміністратора системи, конфігураційної інформації технічних засобів, а також до відомостей, що передаються по каналах зв'язку.

У цьому класі виділяються наступні основні загрози:

• використання співробітниками чужого ідентифікатора;

• використання чужого ідентифікатора постачальниками послуг;

• використання чужого ідентифікатора сторонніми;

• несанкціонований доступ до додатка;

• впровадження шкідливого програмного забезпечення;

• зловживання системними ресурсами;

• відмова від підтвердження авторства переданої інформації;

• помилки при маршрутизації;

• використання телекомунікацій для несанкціонованого доступу співробітниками організації, постачальником послуг, сторонніми особами;

• несправність засобів мережного управління, керуючих або мережевих серверів;

• збої системного та мережевого програмного забезпечення;

• збої прикладного програмного забезпечення.

.        Загрози технічним засобам. Загрози доступності та цілісності інформації (збереженої, оброблюваної, що передається по каналах зв'язку) пов'язані з фізичними ушкодженнями та відмовами технічних засобів системи і допоміжних комунікацій. Наслідки реалізації цього класу загроз можуть призвести до повного або часткового руйнування інформації, відмови в обслуговуванні користувачів та їх запитів до системи, неможливості виводу або передачі інформації.

У цьому класі виділяються наступні основні загрози:

• пожежа;

• затоплення;

• природні катаклізми;

• несправності мережного сервера, накопичувального пристрою, друкуючих пристроїв, мережних розподіляють компонентів, мережевих шлюзів, мережевих інтерфейсів, електроживлення, кондиціонерів.

. Загрози, обумовлені людським чинником. Вони виникають внаслідок навмисних або ненавмисних дій персоналу або сторонніх осіб, що призводять до виходу з ладу або нештатної роботі програмних або технічних засобів інформаційної системи. У цьому класі виділяються наступні основні загрози:

• помилки операторів (помилки адміністраторів при конфігуруванні системи);

• помилки користувачів при роботі з системою;

• помилки при роботах з програмним забезпеченням (помилки адміністраторів при проведенні профілактичних робіт);

• помилки при роботах з обладнанням (помилки співробітників служби технічної підтримки при проведенні профілактичних робіт);

• крадіжки з боку співробітників.

. Загрози що виникають при перехопленні електромагнітних випромінювань зображення монітора поширений спосіб розкрадання інформації. Це стає можливим у зв'язку з його паразитним випромінюванням, прийом якого можливий до 50 м.

Що стосується саме джерел виникнення загроз, то вони можуть бути як зовнішніми так і внутрішніми.

Зовнішні джерела можуть бути випадковими або навмисними і мати різний рівень кваліфікації. До них відносяться:

ü  хакери;

ü  несумлінні партнери;

ü  конкуренти;

ü  технічний персонал постачальників послуг.

Внутрішні суб'єкти (джерела), як правило, являють собою висококваліфікованих фахівців в області розробки і експлуатації програмного забезпечення і технічних засобів, знайомі зі специфікою розв'язуваних завдань, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, мають можливість використання штатного обладнання і технічних засобів мережі.

До них відносяться:

ü  основний персонал (користувачі, програмісти, розробника);

ü  представники служби захисту інформації;

ü  допоміжний персонал (прибиральники, охорона);

ü  технічні персонал (життєзабезпечення, експлуатація).

Прояви можливого збитку для товариства можуть бути різними:

Ø  моральний і матеріальний збиток діловій репутації організації;

Ø  моральний, фізичний чи матеріальний збиток, пов'язаний з розголошенням персональних даних окремих осіб;

Ø  матеріальний (фінансовий) збиток від розголошення захищеної (конфіденційної) інформації;

Ø  матеріальний (фінансовий) збиток від необхідності відновлення порушених захисних інформаційних ресурсів;

Ø  матеріальний збиток (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною;

Ø  моральний і матеріальний збиток від дезорганізації в роботі всього підприємства.

Наявність політики інформаційної безпеки свідчить про зрілість та компетентність підприємства у питаннях забезпечення інформаційної безпеки [6].

Під політикою інформаційної безпеки розуміють набір вимог, правил, обмежень, рекомендацій, систему заходів, відповідальність співробітників та механізми контролю, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації.

Ефективна політика інформаційної безпеки визначає необхідний та достатній набір вимог безпеки. Вона мінімально впливає на продуктивність праці, враховує особливості бізнес-процесів підприємства, підтримується керівництвом, позитивно сприймається й виконується співробітниками підприємства [5]. Відсутність політики інформаційної безпеки в свою чергу несе в собі негативну оцінку діяльності підприємства, впливає на позиції рейтингу організації на ринку. Згідно з дослідженням, проведеного компанією Deloitte в 2006 році, підприємства, які мають чітку документовану політику інформаційної безпеки, значно рідше піддаються злому.

Насамперед політика інформаційної безпеки ТОВ «Ясенсвіт» ставить перед собою такі основні запитання рис.1.6.

Рис.1.6 Політика інформаційної безпеки визначає

Метою політики інформаційної безпеки ТОВ «Ясенсвіт» рис.1.7. є впровадження та ефективне управління системою інформаційної безпеки.

Рис.1.7 Мета політики інформаційної безпеки ТОВ «ЯСЕНСВІТ»

Основним завданням політики інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз.

Політика інформаційної безпеки виступає також у вигляді документу або багаторівневої системи документів, які визначають вимоги безпеки. Документ політики безпеки передбачає внесення наступних розділів [9]:

.Вступний розділ, що підтверджує стурбованість керівництва проблемами інформаційної безпеки.

.Організаційний розділ, що описує підрозділи, комісії, групи осіб, відповідальні за роботи в області інформаційної безпеки.

На основі цього документа в організації діє підрозділ служби безпеки, до складу якого входять:

         співробітники служби безпеки;

         адміністратор безпеки даних;

         адміністратор системи даних;

         керівник служби безпеки.

Робота підрозділу направлена на:

ü  забезпечення якісного виконання організаційно-технічних заходів із захисту інформації;

ü  здійснення контрольних перевіркок стану захищеності інформації;

ü  сприяння (технічним та організаційними заходам) створення і дотримання умов зберігання інформації, отриманої організацією на договірних, контрактних або інших основах від організацій-партнерів, постачальників, клієнтів та приватних осіб;

ü  періодичне надавати керівництву організації звітів про стан захищеності інформації і про дотримання користувачами та персоналом встановленого порядку і правил захисту інформації;

ü  негайне повідомляння керівництва (організації) про виявлені атаки та викриття порушників.

.Класифікаційний розділ, що описує матеріальні та інформаційні ресурси підприємства та необхідний рівень їх захисту.

Цей розділ передбачає надання відомостей про конкретний інформаційний ресурс. Так для компанії «Ясенсвіт» існує наступна інформація, що потребує захисту:

·        технологія виробництва, технологічні прийоми та устаткування, модифікація раніше відомих технологій і процесів та інша технологічна інформація;

·        відомості про управління підприємством, стратегія підприємства;

·        відомості про фінанси підприємства (відомості про систему оплати праці; відомості, що розкривають показники фінансового плану; майнове становище, кількість і вартість товарних запасів; відомості про баланс підприємства; відомості про стан банківських рахунків підприємства, відомості про рівень доходів підприємства);

·        відомості про плани підприємства (плани закупівель, продажу та інвестицій);

·        цінова і збутова політика, собівартість продукції;

·        порівняльні характеристики власного асортименту і товарів конкурентів з погляду якості, зовнішнього вигляду, пакування тощо;

·        плани підприємства щодо розширення (скорочення) виробництва;

·        факти ведення переговорів з питань купівлі-продажу;

·        інформація про кадри підприємства;

·        відомості про постачальників, продавців та покупців продукції підприємства;

·        відомості про способи придбання і реалізації продукції підприємства;

·        зміст та характер договорів та контрактів, однією із сторін в яких виступає підприємство;

·        відомості щодо обладнання приміщень підприємства охоронною сигналізацією та місця її встановлення

. Штатний розділ, що характеризує заходи безпеки щодо персоналу.

.Розділ, що висвітлює питання фізичного захисту інформації.

.Розділ управління, що описує підхід до управління комп'ютерами та комп'ютерними мережами пересилання даних.

.Розділ, що зазначає правила розмежування доступу до інформації.

.Розділ, що описує заходи, спрямовані на забезпечення безперервної роботи.

При розробці і проведенні політики інформаційної безпеки в життя доцільно керуватися наступними засадами рис.1.8.

Рис.1.8 Основні засади при розробці політики інформаційної безпеки

Докладніше роз’яснимо зміст перерахованих принципів.

. Принцип неможливості минати захисні засоби означає, що всі інформаційні потоки в мережу, що захищається, і з її повинні проходити через екран. Не повинно бути "таємних" модемних чи входів тестових ліній, що йдуть в обхід екрана.

. Надійність будь-якої оборони визначається найслабшою ланкою. Часто найслабшою ланкою виявляється не комп'ютер програма, а людина, і тоді проблема забезпечення інформаційної безпеки здобуває нетехнічний характер.

. Принцип неприпустимості переходу у відкритий стан означає, що при будь-яких обставинах (у тому числі позаштатних), система захисту або цілком виконує свої функції, або повинна цілком блокувати доступ.

. Принцип мінімізації привілеїв наказує виділяти користувачам і адміністраторам тільки ті права доступу, що необхідні їм для виконання службових обов'язків.

. Принцип поділу обов'язків припускає такий розподіл ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. Це особливо важливо, щоб запобігти зловмисні чи некваліфіковані дії системного адміністратора.

. Принцип багаторівневого захисту наголошує не покладатися на один захисний рубіж, яким би надійним він ні здавався. За засобами фізичного захисту повинні випливати програмно-технічні засоби, за ідентифікацією й аутентифікацією - керування доступом і, як останній рубіж, - протоколювання й аудит.

. Принцип розмаїтості захисних засобів рекомендує організовувати різні за своїм характером оборонні рубежі, щоб від потенційного зловмисника було потрібно оволодіння різноманітними і, по можливості, несумісними між собою навичками подолання системи захисту інформації.

. Принцип простоти і керованості інформаційної системи в цілому особливо визначає можливість формального чи неформально доказу коректності реалізації механізмів захисту. Тільки в простій і керованій системі можна перевірити погодженість конфігурації різних компонентів і здійснити централізоване адміністрування.

. Принцип загальної підтримки заходів безпеки - носить нетехнічний характер. Рекомендується із самого початку передбачити комплекс заходів, спрямований на забезпечення лояльності персоналу, на постійне навчання, теоретичне і, головне, практичне.

Розділ 2. Розробка моделі системи інформаційної безпеки організації

Практичне завдання забезпечення інформаційної безпеки полягає у розробці моделі системи інформаційної безпеки ТОВ «Ясенсвіт».

Основною задачею моделі є наукове забезпечення процесу створення системи інформаційної безпеки за рахунок правильної оцінки ефективності прийнятих рішень і вибору раціонального варіанту реалізації системи захисту інформації.

Слід також підкреслити, що розроблена модель має характеризуватися наступним властивостям:

·        універсальністю;

·        комплексністю;

·        простотою використання;

·        наочністю;

·        практичною спрямованістю;

·        бути самонавчальною (можливість нарощування знань);

·        функціонувати в умовах високої невизначеності вихідної інформації.

І в свою чергу модель системи захисту інформації має дозволяти:

·              установити взаємозв'язок між показниками (вимогами);

·              задавати різні рівні захисту;

·              одержувати кількісні оцінки;

·              контролювати стан системи захисту інформації;

·              оперативно реагувати на зміни умов функціонування;

·              об'єднати зусилля різних фахівців єдиним задумом;

Для кращого розуміння завдання розробки моделі, розглянемо три "координати вимірів" - три групи складових моделі СЗІ.

. З чого складається (Основи)?

. Для чого призначена (Напрямки)?

. Як працює (Етапи)?

Основами - складовими частинами системи захисту інформації є:

·              законодавча, нормативно-правова і наукова база;

·              структура та задачі органів (підрозділів), що забезпечують безпеку інформації;

·              організаційно-технічні і режимні виміри і методи (політика інформаційної безпеки);

·              програмно-технічні методи і засоби [3].

Напрямки формуються виходячи з конкретних особливостей інформаційної системи як об'єкта захисту. У загальному випадку, з огляду на типову структуру інформаційної системи історично сформовані види робіт із захисту інформації, пропонується розглянути наступні напрямки:

·              захист об'єктів інформаційних систем;

·              захист процесів, процедур і програм обробки інформації;

·              захист каналів зв'язку;

·              придушення побічних електромагнітних випромінювань;

·              керування системою захисту.

·              визначення інформаційних і технічних ресурсів, а також об'єктів інформаційної системи, що підлягають захисту;

·              виявлення повної множини потенційно можливих загроз і каналів витоку інформації;

·              проведення оцінки вразливості і ризиків інформації (ресурсів ІС) при наявній множині погроз і каналів витоку;

·              визначення вимог до системи захисту інформації;

·              здійснення вибору засобів захисту інформації і їхніх характеристик;

·              впровадження й організація використання обраних методів і засобів захисту.

·              здійснення контролю цілісності і керування системою захисту.

На сьогоднішній день розроблено багато моделей, що застосовуються в галузі інформаційної безпеки. Їх можна класифікувати за різними ознаками та критеріями. Наприклад, за природою реалізації розрізняють фізичні та математичні моделі; за характером параметрів опису моделі - детерміновані, стохастичні, нечіткі тощо; за видом залежностей, які описуються - дискретні, безперервні, лінійні, нелінійні, комбіновані; за метою створення моделі поділяють на створені з метою прогнозу та з метою оптимізації; за динамічними властивостями виділяють статистичні та динамічні моделі.

Проте необхідно підкреслити, що на даний момент не існує універсальної моделі захисту інформації. Вона вирішує тільки частину проблем, визначених як пріоритетні, не враховуючи унікальність кожної системи, що знаходяться в умовах постійних змін, під впливом багатьох чинників, які часто складно не тільки описати, але й визначити заздалегідь.

Тому в роботі пропонується новий погляд розробки системи захисту за допомогою програми ERwin, що допомагає створити складну модель бізнес-процесів при мінімальних зусиллях. Основу методології програми ERwin становить графічна мова опису бізнес-процесів. Модель ERwin представлена сукупністю ієрархічно впорядкованих і логічно зв'язаних діаграм. Кожна діаграма розташовується на окремому аркуші.

Першим кроком є створення контекстної діаграми, що являє собою загальний опис системи і її взаємодію із зовнішнім середовищем. Контекстна діаграма рис.2.1. «Побудова системи інформаційної безпеки ТОВ "Ясенсвіт"» характеризується вхідними властивостями інформації, правовими і адміністративними заходами щодо побудови системи захисту інформації, підрозділом служби безпеки, що задіяний в розробці системи захисту, а також отримання на виході рекомендацій щодо захисту інформації, методів захисту інформації, системи захисту інформації та масивів даних для забезпечення безпеки інформації.

Рис.2.1 Контекстна діаграма

Після опису системи в цілому проводиться розбивка її на великі фрагменти. Цей процес називається функціональною декомпозицією, а діаграми, які описують кожний фрагмент і взаємодія фрагментів, називаються діаграмами декомпозиції. На рівні декомпозиції в нашому випадку подані етапи розробки системи інформаційної безпеки, а саме:

ü  формування функцій захисту інформації;

ü  обізнаність організації про можливі і потенційні загрози інформаційної безпеки;

ü  формування основних задач захисту інформації;

ü  ресурсне забезпечення інформаційної безпеки;

ü  розробка системи інформаційної безпеки;

ü  підвищення ефективності захисту інформації.

На рис. 2.2. докладніше зображено етапи розробки системи безпеки інформації, а також взаємодія між ними.

Рис.2.2 Етапи побудови системи інформаційної безпеки

Перший етап формування функцій захисту передбачає наступні підрозділи захисту інформації, що подані на рис. 2.3.

Рис.2.3 Формування функцій захисту інформації

В свою чергу політика інформаційної безпеки формує основні питання забезпечення захисту інформації рис.2.4.

Рис.2.4 Розробка політики інформаційної безпеки

Другий етап розробки системи безпеки інформації, а саме обізнаність організації про можливі і потенційні загрози інформаційної безпеки рис.2.5. описує:

ü  збитки від потенційних і можливих загроз;

ü  джерела загроз;

ü  класифікацію загроз.

Рис.2.5 Другий етап обізнаність організації про загрози інформаційної безпеки

В свою чергу цей етап поділяється на підрозділ аналіз збитки від потенційних і можливих загроз рис.2.6.

Рис.2.6. Збитки від потенційних і можливих загроз

Та підрозділ джерел загроз, що поділяються на зовнішні та внутрішні докладніше розглянемо на рис.2.7.

Рис.2.7. Джерела загроз

Третій етап являє собою ресурсне забезпечення інформаційної безпеки та включає в себе персонал, технологій та інформаційні процеси рис.2.8.

Рис.2.8. Ресурсне забезпечення інформаційної безпеки організації

На четвертому етапі пропонується модель системи безпеки інформації, виходячи з аналізу попередніх етапів побудови системи захисту інформації ТОВ «Ясенсвіт», що використовує наступні методи і заходи захисту інформації рис. 2.9.

Рис.2.9 Модель системи інформаційної безпеки

Останній етап побудови системи інформаційної безпеки передбачає створення рекомендації щодо підвищення ефективності захисту інформації.

Діаграма дерева вузлів представлена на рис.2.10.

Рис.2.10 Діаграма дерева вузлів:побудова системи інформаційної безпеки ТОВ «Ясенсвіт»

Розділ 3. Дослідження та оцінка ефективності системи інформаційної безпеки організації

На сучасному етапі інформаційна безпека відображає захищеність інформаційного середовища ТОВ «Ясенсвіт» та допомагає підвищити ефективність процесу управління на підприємстві.

Процес забезпечення інформаційної безпеки в організації можна представити як взаємодію трьох підсистем:

         підсистема інформаційного забезпечення процесу управління на підприємстві;

         підсистема захисту інформаційного середовища підприємства;

         підсистема діагностики рівня інформаційної безпеки.

Основну увагу звернемо на діагностику рівня інформаційної безпеки ТОВ «Ясенсвіт».

.Оцінка програмно-технічної захищеності інформації.

. Оцінка інформаційної надійності персоналу.

.Оцінка інформації, що надається особам, які приймають рішення, інформаційною службою підприємства.

Наведені вище напрямки створюють систему показників оцінки рівня інформаційної безпеки.

До оцінки програмно-технічної захищеності інформації належать наступні індикатори інформаційної безпеки:

.Коефіцієнт технічного захисту інформації (К_т..з.)

К_т..з..=ІА_нв

де ІА_нв- кількість невідвернутих інформаційних атак, од.;

.Коефіцієнт програмної захищеності інформації (К_п.з.)

К_п.з=

де Ч_б.ф.- час безперебійного функціонування корпоративної інформаційної системи, год;

Ч_н.ф.- нормативний час функціонування корпоративної інформаційної системи, год;

К_ф.з.=

В_з.ін.- затрати на захист інформаційних ресурсів, грн.;

В _пр..ін - витрати на придання інформаційних ресурсів, грн.

До оцінки інформаційної надійності персоналу належать такі індикатори:

.Коефіцієнт правової захищеності інформації (К_пр.з.)

К_пр.з=

де І- обсяг інформації, розголошення якої може спричинити негативні наслідки для організації, %;

І_юр.з.- загальний обсяг юридичної захищеності інформації,%.

.Коефіцієнт досвіду роботи персоналу, що забезпечує інформаційну безпеку підприємства (К_д.р.)

К_д.р=

де ЧП₁- чисельність працівників маючих доступ до комерційної таємниці, що працюють на підприємстві більше одного року, ос;

ЧП_з - загальна чисельність працівників маючих доступ до комерційної таємниці, ос.

. Коефіцієнт надійності персоналу, що забезпечує інформаційну безпеку підприємства (К_н.п.)

К_н.п.=

де ЧП_вит- чисельність працівників, звільнених за причиною витоку інформації, ос;

ЧП_з.зв.- загальна чисельність звільнених працівників, ос.

До оцінки інформації, що надається особам, які приймають рішення, інформаційною службою підприємства належать наступні індикатори інформаційної безпеки:

.Коефіцієнт повноти інформації (К_п.ін.)

К_п.ін=

де І_н.- обсяг інформації, що є в розпорядженні осіб, що приймають рішення, %;

І_необ.-обсяг інформації, необхідний для ухвалення обґрунтованого рішення, %.

.Коефіцієнт точності інформації (К_т.ін.)

К_т.ін.=

де І_р - обсяг релевантної інформації, %;

І_н.- загальний обсяг наявної в розпорядженні інформації, %.

.Коефіцієнт суперечливості (К_с.ін.)

К_с.ін=

де І_ухв.- кількість незалежних свідчень на користь ухвалення рішення, %;

І_з.- загальна кількість незалежних свідчень у сумарному обсязі релевантної інформації,%.

.Коефіцієнт своєчасності надання інформації (К_с.н.ін.)

К_с.н.ін.=

де І_с.н.- обсяг своєчасно наданої інформації особам, що приймають рішення, %;

І_необ.- обсяг інформації, необхідний для ухвалення обґрунтованого рішення, %.

.Коефіцієнт надійності інформації (К_н.ін.)

К_н.ін.=

де І_н.д.- обсяг інформації наданої особам, що приймають рішення з надійних джерел, %;

І_з.н.- загальний обсяг наданої інформації особам, що приймають рішення, %.

Сукупність наведених вище індикаторів інформаційної безпеки формують рівень системи інформаційної безпеки. Розрізняють 3 ступені інформаційної безпеки:

К_б ≥ 0,7 - рівень інформаційної безпеки високий;

,3≤К_б<0,7 - рівень інформаційної безпеки середній;

К_б < 0,3 - рівень інформаційної безпеки низький

Для визначення рівня інформаційної безпеки ТОВ «Ясенсвіт» скористаємось експертною системою «Super Finance 2”, що представляє собою програмну оболонку загального користування, призначену для проведення консультацій користувача в спроектованій базі знань. “SF2“ базується на правилах та побудована у вигляді продукційної системи, модель якої генерує граф пошуку. Оболонка системи запрограмована на мові Visual Prolog, та дозволяє реалізувати цільовий пошук згідно мети.

На основі бази знань Super Finance створюється експертна система, що являє собою обчислювальну систему, яка імітує|наслідує| поведінку людського експерта в деякій певній|специфічній| ПРГ. Ідея |позаду,потім,ззаду| створення|створіння| експертної системи полягає в можливості|спроможність| багатьом людям отримати вигоду із|із| знання однієї людини - експерта. І не тільки|не лише| буде цим роблять|чинять| знання фахівця|спеціаліста| більш з|із| готовністю доступний|придатний|, але і це, можливо, звільняє|визволяє| експерта для|за| дійсно|реально| важких|тяжких| завдань|задач|.

Фахівець з питань знань (експерт), спочатку забезпечує систему інформацією у вигляді бази знань залежно від галузі використання системи. Запис діалогу під час створення бази знань відтворюється у вікнах та записується у файл для подальшого користування та консультацій. Створена фахова консультація відображаться через меню консультацій.

Діалог - це форма консультації з експертною системою “SF 2“. На деякі питання, користувач відповідає за допомогою вибору з меню, в інших випадках, користувачу необхідно надрукувати відповіді. Консультація завершується висновком, виданим системою, та поясненням послідовності висновку, що привела до цього твердження.

Діалоговий процесор створює в системі питання для користувача та забезпечує обґрунтовані висновки системи, відповіді та необхідні конкретні пояснення результатів консультацій.

В експертній системі використовуються наступні параметри:: коефіцієнт надійності інформації;: коефіцієнт технічного захисту інформації: коефіцієнт програмної захищеності;: коефіцієнт фінансового захисту інформації;: коефіцієнт правової захищеності;: коефіцієнт досвіду роботи персоналу, що забезпечує інформаційну безпеку;

Сompleteness: коефіцієнт повноти інформації: коефіцієнт точності інформації: коефіцієнт суперечності інформації: коефіцієнт своєчасності інформації

При розробці використовуються наступні секції:: початок;: високий рівень параметра;: середній рівень параметра;: низький рівень параметра.

При введенні секцій система автоматично малює граф - дерево секцій бази знань та дозволяє підключати при необхідності модулі зовнішніх баз різних форматів у внутрішній формат програми, що робить систему гнучкою та незалежною від формату зовнішніх даних. Структура бази знань задається у вигляді направленого графа рис.3.2, вузли якого - модулі обробки даних, а ребра задають напрям і послідовність пошуку відповіді.

Рис.3.2 Дерево секцій

Детальніше розглянемо секції консультування:

start: 'Q '(Q = 'option_1') do One1 (Q = 'option_2') do Two2(Q = 'option_3') do Three3(Pr1='option_1' and Pr2='option_1' and Pr3='option_1' and Pr4='option_1' and Pr5='option_1' and Pr6='option_1' and Pr7='option_1' and Pr8='option_1' and Pr9='option_1' and Pr10='option_1') do highHigh: 'High level of protection ''Рівень інформаційної безпеки є високим.’(Pr1='option_2' and Pr2='option_2' and Pr3='option_2' and Pr4='option_2' and Pr5='option_2' and Pr6='option_2' and Pr7='option_2' and Pr8='option_2' and Pr9='option_2' and Pr10='option_2') do middleMiddle: 'Middle level of protection ''Рівень інформаційної безпеки середній, це не є критичним, але вам слід задуматись над покращенням’(Pr1='option_3' and Pr2='option_3' and Pr3='option_3' and Pr4='option_3' and Pr5='option_3' and Pr6='option_3' and Pr7='option_3' and Pr8='option_3' and Pr9='option_3' and Pr10='option_3') do lowlow: 'Low level of protection ''Рівень інформаційної безпеки низький, вам негайно почати покращення’(Pr1='option_1' and Pr2='option_1' and Pr3='option_1' and Pr4='option_1' and Pr5='option_1' and Pr6='option_1' and Pr7='option_1' and Pr8='option_1' and Pr9='option_1' and Pr10='option_1') do highHigh: 'High level of protection ''Рівень інформаційної безпеки є високим.’(Pr1='option_2' and Pr2='option_2' and Pr3='option_2' and Pr4='option_2' and Pr5='option_2' and Pr6='option_2' and Pr7='option_2' and Pr8='option_2' and Pr9='option_2' and Pr10='option_2') do middleMiddle: 'Middle level of protection ''Рівень інформаційної безпеки середній, це не є критичним, але вам слід задуматись над покращенням’(Pr1='option_3' and Pr2='option_3' and Pr3='option_3' and Pr4='option_3' and Pr5='option_3' and Pr6='option_3' and Pr7='option_3' and Pr8='option_3' and Pr9='option_3' and Pr10='option_3') do lowlow: 'Low level of protection ''Рівень інформаційної безпеки низький, вам негайно почати покращення’(Pr1='option_1' and Pr2='option_1' and Pr3='option_1' and Pr4='option_1' and Pr5='option_1' and Pr6='option_1' and Pr7='option_1' and Pr8='option_1' and Pr9='option_1' and Pr10='option_1') do highHigh: 'High level of protection ''Рівень інформаційної безпеки є високим.’(Pr1='option_2' and Pr2='option_2' and Pr3='option_2' and Pr4='option_2' and Pr5='option_2' and Pr6='option_2' and Pr7='option_2' and Pr8='option_2' and Pr9='option_2' and Pr10='option_2') do middleMiddle: 'Middle level of protection ''Рівень інформаційної безпеки середній, це не є критичним, але вам слід задуматись над покращенням’(Pr1='option_3' and Pr2='option_3' and Pr3='option_3' and Pr4='option_3' and Pr5='option_3' and Pr6='option_3' and Pr7='option_3' and Pr8='option_3' and Pr9='option_3' and Pr10='option_3') do lowlow: 'Low level of protection ''Рівень інформаційної безпеки низький, вам негайно почати покращення’

В результаті проведеного дослідження виявлено, що рівень системи інформаційної безпеки ТОВ «Ясенсвіт» є середнім тобто компанії необхідно звернути увагу на підвищення загального рівня інформаційної безпеки та ряду показників захисту інформації.

Покращення рівня інформаційної безпеки може бути як за рахунок впровадження нових технічних та програмно-апаратних засобів захисту інформації, так і за рахунок заміни застарілої правової бази щодо захисту даних, а також впровадження нових адміністративних методів захисту.

Висновки

Відомий вислів Уінстона Черчілля: «Хто володіє інформацією, той володіє світом!» є досить актуальним, оскільки інформація у сучасному світі - стратегічний ресурс, що дорого коштує. Надійний захист і збереження інформації є однією з основних проблем сьогодення.

Практична частина направлена на побудову моделі системи захисту інформації за допомогою BPwin. Але для цього насамперед потрібно визначити вхідну і вихідну інформацію, яка впливає на захист інформації і даних. В моделі було чітко визначено етапи захисту інформації, можливі і потенційні загрози інформаційної безпеки, ресурсне забезпечення, яке задіяне в роботі з інформацією. Ці всі етапи допомогли візуально краще зрозуміти, на що потрібно звернути увагу, при створенні ефективної і надійної системи захисту інформації.

Розробка бази знань в Super Finance 2 дала відповідь на запитання, на якому рівні знаходиться інформаційна безпека ТОВ «Ясенсвіт»? В процесі дослідження будо виявлено, що рівень інформаційної безпеки є середнім, що є не критичним, але бажано звернути увагу на підвищення рівня захисту інформації. Super Finance являється є однією з кращих програм для підтримки прийняття рішень, вона дає чіткі відповіді на поставлені питання. І тим самим спрощує роботу аналітика, що допомагає звернути більше уваги на розробку якісної системи інформаційної безпеки.

Отже, розроблену мною модель можна використовувати при створенні системи захисту інформації на підприємстві ТОВ «Ясенсвіт».

Список використаної літератури

1.      Інформаційні системи і технології у фінансових установах А.В.Олійник, В.М.Шацька - Навчальний посібник - Львів: "Новий Світ-2000", 2006 - 436 с.

.        Информационные системы в экономике: М. Карминский, Б.В. Черников В 2-х ч. Ч.1. Методология создания: Учеб. Пособие. - М.: Финансы и статистика, 2006- 336с.

.        Захист інформації: Підручник для вищих навчальних закладів/ Ірина Маракова, Анатолій Рибак, Юрій Ямпольский,; Мін-во освіти і науки України, Одеський держ. політехнічний ун-т, Ін-т радіоелектроніки і телекомунікацій. - Одеса, 2001. -164 с.

.        Щербина В.М. Інформаційне забезпечення економічної безпеки підприємств та установ // Актуальні проблеми економіки. - 2006. - № 10. - C. 220 - 225.

.        Садердинов А.А., Трайнёв В.А., Федулов А.А. Информациионная безопасность предприятия: Учебное пособие.-2-е изд.-М., Издательско-торговая корпорация «Дашков и К», 2005. -336 с.

.        Інформаційна безпека: організаційно-правові основи: Навчальний посібник/ Борис Кормич,. -К.: Кондор, 2005. -382 с.

.        Інформаційна безпека України: проблеми та шляхи їх вирішення // Національна безпека і оборона. - 2001. - № 1. - C. 60-69

.        Гуцалюк М. Інформаційна безпека України: нові загрози // Бизнес и безопасность. - 2003. - № 5. - C. 2-3.

.        http://www.security.ukrnet.net/