Совершенствование системы защиты информации
Введение
Данная работа посвящена рассмотрению организации
ЗИ. Целью данной работы является совершенствование системы защиты информации на
предприятии.
Для достижения поставленной цели
необходимо решить следующие задачи:
· ознакомиться с
деятельностью объекта исследования;
· исследование структуры организации;
· анализ информационных потоков;
· провести классификацию информации;
· усовершенствовать систему защиты
информации.
Объектом исследования является ООО «ВТИ -
Сервис».
Предметом исследования является организация
деятельности защиты информации ООО «ВТИ-СЕРВИС».
1. Общие сведения о
компании ООО «ВТИ-Сервис»
ООО «ПРЕДПРИЯТИЕ ВТИ-СЕРВИС» было
создано в 1996 году.
ООО «ВТИ-СЕРВИС» - одна из ведущих компаний в
Курске и курской области по:
· продаже торгового и компьютерного
оборудования;
· предоставлению услуг в сфере
безопасности и мониторинга;
· предоставлению услуг IT - сферы.
· продажа и
техническое обслуживание ККТ и другого торгового оборудования.
Наша компания предлагает широкий ассортимент
профессионального торгового оборудования лучших российских и зарубежных
производителей.
Для удобства заказчика компания имеет свой
сервисный центр, где всегда можно получить качественную и оперативную помощь по
ремонту и обслуживанию оборудования, купить и заказать запасные части.
ВТИ-СЕРВИС предлагает качественное оказание
услуг для предприятий и индивидуальных предпринимателей в сфере информационных
технологий и обслуживания торгового оборудования. Мы готовы предоставить Вам
полный комплекс услуг по решению самых разных задач в сфере ИТ: систематизации
управления и учета на предприятиях (1С продукты) и подбора технических средств
в соответствии с Вашими запросами, а так же полной автоматизации Вашего
бизнеса.
ВТИ-СЕРВИС предоставляет свои услуги в сфере
безопасности и мониторинга. Мы обеспечиваем разработку и внедрение комплексных
систем безопасности, информационных систем мониторинга и управления охраной
объектов защиты (их поставку, монтаж, наладку и дальнейшее обслуживание).
Компания осуществляет продажу и установку информационных систем мониторинга
транспорта.
Компания имеет пятнадцатилетний опыт
автоматизации предприятий в сфере торговли, ресторанного и гостиничного
бизнеса, работы с АЗС, развлекательными и детскими игровыми центрами, салонами
красоты и предприятиями других видов деятельности.
С 2000 года начали заниматься
автоматизацией предприятий торговли, автомобильных заправок и пунктов приема
коммунальных платежей. В 2004 году компания провела первую самостоятельную
комплексную автоматизацию супермаркета самообслуживания продуктов питания. В
2005 году стали партнерами компании «UCS». Это открыло возможность
предоставлять заказчикам лучшее решение для автоматизации бизнес процессов в
сфере общественного питания, отдыха и развлечений (HoReCa). В этом же году ООО
«ПРЕДПРИЯТИЕ ВТИ-СЕРВИС» получило награду - лучший дистрибьютор Компании “АТОЛ
Технологии”. В 2006 году компания стала партнером компании«1С». В 2008 году ООО
«ПРЕДПРИЯТИЕ ВТИ-СЕРВИС» отмечено наградой за: «Лучшее продвижение марки Fprint
в ЦФО» группой компаний “АТОЛ”. В 2008 году для удобства клиентов ООО
«ПРЕДПРИЯТИЕ ВТИ-СЕРВИС» открыло новый филиал. Курске и Железногорске. Со
времени своего основания, предоставляя качественный уровень сервиса, компания
хорошо зарекомендовала себя как среди заказчиков, так и среди поставщиков.
Поэтому большинство ведущих поставщиков торгового оборудования выбрали своими
гарантийными и сервисными центрами в регионе, а также центрами компетенции и
распространения запасных частей. Сейчас компания имеет большое количество
внедрений автоматизированных систем в: торговле, управлении рестораном, работой
АЗС, развлекательным центром, гостиницей, детским игровым центром, салоном
красоты и другими видами деятельности по Курску и области и занимает одну из
лидирующих позиций в своей сфере деятельности. Сегодня
коллектив насчитывает более 50 человек. Это сплоченная, эффективно работающая
команда профессионалов.
2.Система защиты информации и информационные
потоки организации ООО «ВТИ-Сервис»
Организационная структура ООО «ВТИ - Сервис»
Коммерческая организация «ВТИ-сервис»
управляется директором в подчинении которому находятся 8 отделов.
Во главе каждого отдела стоит начальник отдела.
Обязанности начальника отдела состоят в организации контроля трудовой
деятельности отдела. Общая политика и стратегия развитие предприятия
разрабатывается на совещаниях и планерках. Также существуют ежедневные отчеты
по работе отдела.
Так как функционирование каждого отдела
невозможно без информационного и документального взаимодействия между ними, то
для анализа системы защиты в первую очередь рассматривается область
обязанностей каждого отдела, а также внутриорганизационные документопотоки.
Структура организации представлена на рисунке 1.1
Организационная структура ООО «ВТИ - Сервис»
Функции отделов ООО «ВТИ - Сервис»
Отдел ЦТО
Услуги Центра Технического
Обслуживания
Центр Технического Обслуживания
(ЦТО) "ВТИ - Сервис" имеет обширный перечень обслуживаемой кассовой
техники, в том числе как отдельно взятых фискальных регистраторов, так и
целиком POS-систем.
Менеджеры оформят документы,
предоставят журнал кассира-операциониста и журнал вызова механика, окажут
услуги по фискализации ККТ в органах ИФНС и, при необходимости, проводят
обучение персонала работе на кассовом аппарате. Специалисты проводят настройку
оборудования и конфигурирование программного обеспечения под заказчика.
Также, ЦТО предлагает широкий спектр
услуг по гарантийному и сервисному обслуживанию, капитальному ремонту и
настройке практически любых видов банковского оборудования.
1. Регистрация ККМ в
налоговой инспекции <#"724674.files/image002.gif">
Услуги отдела IT
Внедрения автоматизированных решений
в различных отраслях. Таких как предприятия торговли, рестораны, бары кафе,
гостиницы, кинотеатры, детские развлекательные центры и т.д. Проведение
обучение персонала, консультации при возникновении спорных ситуаций на объекте
заказчика, по телефону и удалённо через интернет. Так же предлагают проведение
профилактических и диагностических работ, которые рекомендует фирма
производитель. Проведение такого вида работ позволяет своевременно
спрогнозировать замену элементов, которые быстро изнашиваются.
. Работы по пуско-наладке и
монтажу оборудования:
· Автоматизация и
обслуживание ресторанов <#"724674.files/image003.gif">
Рисунок 1 Информационное
взаимодействие между отделами, директором и финансовым директором.
Рисунок 2. Схема информационных
потоков между отделами
Ниже представлена расшифровка
цифровых обозначений.
1. Директор-отдел кадров: Распорядительные
документы, заявки на предложения по составлению графиков отпусков, утверждение
отпусков, копий приказов о приёме и увольнении. Информация является
конфиденциальной.
2. Директор-Начальник отдела
ЦТО: Распорядительные документы, заявки на техническое обслуживание клиентов,
отчеты о техническом обслуживании клиентов. Информация является
конфиденциальной.
3. Директор - бухгалтер:
Распорядительные документы, запросы об организации бухгалтерского учета. Отчеты
по запросам, отчеты по использованию ресурсов. Информация
является конфиденциальной.
4. Директор-Начальник отдела
продаж: Распорядительные документы. Запросы по обеспечению потребностей
предприятия на ресурсы, договоры с поставщиками, отчеты по обеспечению
потребностей предприятия на ресурсы. Информация является конфиденциальной.
. Директор - Отдел АТХ: Распорядительные
документы. Отчеты о состоянии ТС. Информация для общего доступа.
. Директор- Начальник Отдела IT: Распорядительные
документы. инструкции. Письма, отчеты о продельной работе отдела. Информация
является конфиденциальной.
. Директор - секретарь:
Распорядительные документы. Договора с поставщиками и клиентами. Информация
является конфиденциальной.
. Финансовый директор - Отдел
АТХ: Распорядительные документы. Отчеты о стоимости ТО ТС. Информация является
конфиденциальной.
. Директор - Финансовый директор:
Распорядительные документы, запросы по состоянию финансов предприятия.
Финансовые отчеты. Информация является строго конфиденциальной.
. Директор - внешняя среда:
Распорядительные документы правительства РФ, местной администрации. Информация
общего доступа
. Отдел Кадров -
Бухгалтерия: запросы на справки о размере заработной платы для оформления
пенсии, График отпусков Заявки на рабочих и служащих. Запросы на новые кадры.
Информация является конфиденциальной.
. Отдел Кадров - Начальник
отдела IT: Проекты приказов. Графики отпусков. Заявки на рабочих и
служащих. Запросы на новые кадры. Сведения о перемещении сотрудников по
служебной лестнице. Информация является конфиденциальной.
. Отдел Кадров - Начальник
отдела продаж: Проекты приказов. Графики отпусков Заявки на рабочих и служащих.
Запросы на новые кадры. Сведения о перемещении сотрудников по служебной
лестнице. Информация является конфиденциальной.
. Отдел Кадров - Начальник
отдела ЦТО: Проекты приказов. Графики отпусков. Заявки на рабочих и служащих.
Запросы на новые кадры. Сведения о перемещении сотрудников по служебной
лестнице. Информация является конфиденциальной.
. Отдел Кадров - АТХ:
Проекты приказов. Графики отпусков. Заявки на рабочих и служащих. Запросы на
новые кадры. Сведения о перемещении сотрудников по служебной лестнице.
Информация является конфиденциальной.
. Отдел Кадров - Секретарь:
Проекты приказов. Графики отпусков. Заявки на рабочих и служащих. Запросы на
новые кадры. Сведения о перемещении сотрудников по служебной лестнице.
Информация является конфиденциальной.
. IT отдел - Отдел ЦТО:
Инструкции отчеты о ресурсах письма Инструкции отчеты о ресурсах письма.
Информация Общего доступа.
. Отдел продаж - Отдел АТХ:
Заявки на доставку оборудования и специалистов к клиентам. Путевые листы.
Информация Общего доступа.
. Бухгалтерия- Начальник
отдела IT: Помощь работникам предприятия по вопросам бухгалтерского учета,
контроля и отчетности Отчеты по затратам ресурсов. Запросы на помощь в
осуществлении бухгалтерского учета, контроля и отчетности Информация является
конфиденциальной.
. Бухгалтерия- Начальник
отдела продаж: Помощь работникам предприятия по вопросам бухгалтерского учета,
контроля и отчетности Отчеты по затратам ресурсов. Запросы на помощь в
осуществлении бухгалтерского учета, контроля и отчетности Информация является
конфиденциальной.
. Бухгалтерия- Отдел АТХ:
Помощь работникам предприятия по вопросам бухгалтерского учета, контроля и
отчетности Отчеты по затратам ресурсов. Запросы на помощь в осуществлении
бухгалтерского учета, контроля и отчетности Информация является
конфиденциальной.
. Бухгалтерия- Начальник
отдела ЦТО: Помощь работникам предприятия по вопросам бухгалтерского учета,
контроля и отчетности Отчеты по затратам ресурсов. Запросы на помощь в
осуществлении бухгалтерского учета, контроля и отчетности Информация является
конфиденциальной.
. Начальник отдела IT-IT отдел: 1С
Распорядительные документы. Заявки на выполнение работ Отчеты по выполнимым
работам Информация общего доступа
. Начальник отдела ЦТО -
Отдел Сервиса ЦТО: Распорядительные документы. Заявки на выполнение работ
Отчеты по выполнимым работам. Информация общего доступа.
. Секретарь - Начальник
отдела ЦТО: Заявки на обслуживание поступившие от клиентов, ответы на заявки.
Информация общего доступа.
. Начальник отдела IT- Внешняя среда: Письма,
техническая поддержка online.Информация общего доступа.
. Отдел сервиса -Внешняя
среда: Сервисная поддержка клиентов. Информация общего доступа.
. Отдел IT программирования -
Внешняя среда: Письма, техническая поддержка online. Информация общего
доступа.
. Отдел ЦТО - Внешняя среда:
Сервисная поддержка клиентов. Информация общего доступа.
. Отдел продаж - Внешняя
среда: Реклама, информация для СМИ, информация для запрашивающих юридических
или физических лиц. Запросы информации от СМИ, юридических или физических лиц.
Информация общего доступа.
. Секретарь - Внешняя среда:
Принятие заявок от клиентов, Заказы ресурсов поставщикам. Информация является
конфиденциальной.
33. Начальник отдела продаж -
отдел продаж: Распорядительные документы. Письма. Отчеты о продажи товаров и
услуг. Информация является конфиденциальной.
Анализ существующих систем защиты
Для анализа было произведено изучение структуры
здания, расположение камер наблюдения, охранно-пожарных датчиков и составления
схематичной схемы здания. Это показано на схемотичной схеме 1.1: 1.2: 1.3:
Также структурной схемы локально вычислительной сети. Схема 2.1: структурной
схемы ТС. Схема 3.1: структурной схемы видео наблюдения. Схема 4.1:
Посредством информации осуществляются циклически
повторяющиеся стадии процесса управления - получения, переработки сведений о
состоянии управляемого объекта и передачи ему управляющих команд.
Следовательно, с помощью информации реализуется связь между субъектом и
объектом и между управляющей и управляемой частями общей системы управления.
Рассмотренный выше документооборот организации
можно проанализировать по степени конфиденциальности.
Таблица классификации и средства защиты
информации
|
Важная
информация
|
Степень
конфиденциальности
|
Кого
интересует
|
Меры
по защите информации (существующие)
|
|
Персональные
данные
|
Строго
конфиденциально
|
Сотрудники
организации
|
Металлический
шкаф,кодовый замок
|
|
Трудовые
договоры
|
Доступно
|
|
|
|
Личные
дела
|
Конфиденциально
|
Сотрудники
организации, внешние нарушители
|
Оборудованное
помещение, Т металлические шкафы
|
|
Извещения
|
Доступно
|
|
|
|
Заявления
|
Ограниченного
доступа
|
Сотрудники
организации
|
Оборудованное
помещение, Металлические шкафы
|
|
Отчет
|
Конфиденциально
|
Сотрудники
организации, внешние нарушители
|
Оборудованное
помещение, металлические шкафы
|
|
Письма
|
Ограниченного
доступа
|
Внешние
нарушители
|
Специальное
оборудование
|
Основные особенности реализации угроз
информационной безопасности.
|
Виды
угроз
|
Объекты
воздействия
|
|
Оборудование
|
Программы
|
Данные
|
Персонал
|
|
Утечка
информации
|
Хищение
носителей, подключение, несанкционированное использование
|
Несанкционированное
копирование, перехват
|
Хищение,
копия, перехват
|
Разглашение
халатность, передача сведений
|
|
Нарушение
целостности информации
|
Подключение,
модификация, изменение режимов, несанкционированное использование ресурсов
|
Внедрение
специальных программ
|
Искажение,
модификация
|
Вербовка,
подкуп
|
|
Нарушение
работоспособности системы
|
Изменение
режимов, вывод из строя, нарушение
|
Искажение,
подмена, удаление
|
Удаление,
искажение
|
Уход,
физическое устранение
|
При исследовании структуры информационных
потоков, были выявлены виды информации, циркулирующие в ООО «ВТИ - Сервис» и
существующие меры по защите информации.
Существующие средства защиты информации.
На данном объекте существуют следующие средства
защиты информации:
Видеонаблюдение (внутреннее и внешнее).
Металлические двери.
Сейфы.
Дверные замки.
Металлические шкафы.
Охранно-пожарная сигнализация.
3.Совершенствование защиты информации
На основании проведенного анализа ООО «ВТИ -
Сервис»: информационных потоков организации, технических средств защиты
информации которые использует предприятие, надо совершенствовать систему защиты
информации.
Защиту информации на данном предприятии надо
совершенствовать по следующим причинам:
· Отсутствие системы разграничения
доступа в организации.
· Несмотря на то, что принимаются меры
по защите информации, служба безопасности не выделена в отдельную структуру,
что ограничивает ее возможности.
· Уже принятые меры защиты оставляют
слепые зоны, которыми может воспользоваться злоумышленник.
На основании данного анализа были предложены
следующие меры:
· Установить дополнительные камеры,
что бы исключить слепые зоны.
· Установка системы разграничения
доступа в организацию.
Расчет стоимости модернизации системы защиты
офиса
ООО «ВТИ - Сервис»
Установка системы разграничения доступа к компьютерам.
Электронный замок «Соболь».
Электронный замок «Соболь» это
аппаратно-программное средство защиты компьютера от несанкционированного
доступа (аппаратно-программный модуль доверенной загрузки).
Электронный замок «Соболь» может применяться как
устройство, обеспечивающее защиту автономного компьютера, а также рабочей
станции или сервера, входящих в состав локальной вычислительной сети.
«Соболь» обладает следующими возможностями:
· Аутентификация пользователей
· Блокировка загрузки ОС со съемных носителей
· Контроль целостности
· Сторожевой таймер
· Регистрация попыток доступа к ПЭВМ
· Достоинства замка
"Соболь":
· Наличие сертификатов ФСБ и ФСТЭК
России
· Защита информации, составляющей
государственную тайну
· Помощь в построении прикладных криптографических
приложений
· Простота в установке, настройке и
эксплуатации
Электронный замок «Соболь» цена 9100 рублей.
Видеокамеры.
Для того чтобы прикрыть слепые зоны видел
наблюдения была выбрана камера Germikom
D-400. Камера
выбиралась из расчета невысокой её стоимости и практичности. Цена камеры Germikom
D-400 3200р.
Необходимо 2 камеры для наблюдения внутри здания. Общая стоимость 6400 рублей.
Програмное обеспечениеDISCguise - программа
защиты файлов от несанкционированного доступа. Программа ViPNet DISCguise
предназначена для защиты от несанкционированного доступа каталогов и файлов
любого формата на жестких дисках, дискетах и других носителях
информации.DISCguise шифрует данные с использованием секретного ключа, который
формируется на основе пароля, задаваемого пользователем, и некоторых других
параметров, необходимых для обеспечения высокого уровня криптостойкости. В
зашифрованном виде файлы можно хранить на любых носителях информации или
пересылать по открытым каналам связи, не опасаясь утечки информации.
Стоимость одной лицензии составляет 295 рублей.
Надо установить на 5 рабочих станций, и сумма 5 лицензий составляет 1475
рублей.
Можно установить на рабочие компьютеры
бесплатную программу ViPNet CSP.
Криптопровайдер ViPNet CSP - это средство криптографической
защиты информации, предназначенное для выполнения криптографических операций,
доступ к которым обеспечивается встраиванием криптопровайдера в приложения
через стандартизованные интерфейсы. ViPNet CSP реализует криптографические
алгоритмы, соответствующие российским стандартам.
Итак, общая стоимость модернизации защиты
составляет 16975р. Примерные убытки от НСД к конфиденциальной информации, по
оценкам специалистов ООО «ВТИ - Сервис», составляет более 500 000 р.
Заключение
информация защита угроза
В данной работе был рассмотрена организация ЗИ,
ООО «ВТИ-Сервис»
Были решены следующие задачи:
ознакомление с деятельностью объекта
исследования;
исследование структуры организации;
анализ информационных потоков;
проведена классификация информации;
усовершенствовали систему защиты информации.
Исследуемая в работе организация деятельности
защиты информации ООО «ВТИ - Сервис», не отвечает требованиям ЗИ. Были выявлены
угрозы важной информации и приведены технические средства по обеспечению ЗИ.