Améliorer le système de sécurité de l'information. Amélioration du système de sécurité de l'information. Les grandes orientations de la mise en œuvre de la stratégie de l'État pour assurer la sécurité économique au niveau régional
Après avoir analysé la sécurité de l'information de l'entreprise, nous pouvons conclure qu'une attention insuffisante est accordée aux points suivants de la sécurité de l'information :
- irrégulier sauvegarde bases de données d'entreprise;
- les données ne sont pas sauvegardées sur les ordinateurs personnels des employés ;
- messages E-mail stocké sur des serveurs services postaux sur Internet;
- certains employés ont des compétences insuffisantes pour travailler avec des systèmes automatisés ;
- les employés ont accès aux ordinateurs personnels de leurs collègues ;
- absence de programmes antivirus sur certains postes de travail ;
- une faible différenciation des droits d'accès aux ressources réseau;
- il n'y a pas de règles de sécurité.
Tous les éléments ci-dessus sont des inconvénients très importants pour assurer la sécurité de l'information d'une entreprise.
Analyse de risque
Le danger d'une menace est déterminé par le risque en cas de réussite de sa mise en œuvre. Risque - Dommages potentiels. La tolérance au risque signifie que les dommages en cas de menace n'entraînent pas de conséquences négatives graves pour le propriétaire de l'information. L'organisation présente les risques suivants :
1. Sauvegarde irrégulière de la base de données de l'entreprise ;
Conséquences : perte de données sur le fonctionnement de l'entreprise.
2. Les données ne sont pas sauvegardées sur les ordinateurs personnels des employés ;
Conséquence : En cas de panne matérielle, certaines données importantes peuvent être perdues.
3. Les messages électroniques sont stockés sur des serveurs de messagerie sur Internet ;
4. Certains employés ont des compétences insuffisantes pour travailler avec des systèmes automatisés ;
Conséquences : Peut entraîner des données incorrectes dans le système.
5. Les employés ont accès aux ordinateurs personnels de leurs collègues ;
6. Absence de programmes antivirus sur certains postes de travail ;
Conséquences : l'apparition dans le système de programmes antivirus, malveillants Logiciel
7. Mauvaise différenciation des droits d'accès aux ressources du réseau ;
Conséquence : la négligence peut entraîner une perte de données.
8. Il n'y a pas de règles de sécurité.
La finalité et les objectifs du système de sécurité de l'information
L'objectif principal du système de sécurité de l'entreprise est de prévenir les dommages à ses activités par le vol de moyens matériels et techniques et de documentation ; destruction de biens et d'objets de valeur; divulgation, fuite et accès non autorisé aux sources d'informations confidentielles ; dysfonctionnement des moyens techniques pour soutenir les activités de production, y compris les moyens d'informatisation, ainsi que la prévention des dommages causés au personnel de l'entreprise.
Les objectifs du système de sécurité sont :
· Protection des droits de l'entreprise, de ses divisions structurelles et de ses employés ;
· Préservation et utilisation efficace des ressources financières, matérielles et informationnelles ;
· Amélioration de l'image de l'entreprise et croissance des bénéfices en assurant la qualité des services et la sécurité des clients.
Tâches du système de sécurité d'entreprise :
· Identification et élimination en temps opportun des menaces pour le personnel et les ressources ; les raisons et conditions propices à l'atteinte de dommages financiers, matériels et moraux aux intérêts de l'entreprise, la perturbation de son fonctionnement et de son développement normaux ;
Affectation des informations à la catégorie accès limité, et d'autres ressources - à différents niveaux de vulnérabilité (danger) et à préserver ;
· Création d'un mécanisme et des conditions pour une réponse rapide aux menaces de sécurité et aux manifestations de tendances négatives dans le fonctionnement de l'entreprise ;
· Suppression efficace des empiètements sur les ressources et des menaces envers le personnel sur la base d'une approche intégrée de la sécurité ;
L'organisation et le fonctionnement du système de sécurité doivent reposer sur les principes suivants :
Complexité. Il s'agit d'assurer la sécurité du personnel, des moyens matériels et financiers, l'information contre toutes les menaces possibles par tous les moyens et méthodes légales disponibles, tout au long de cycle de la vie et dans tous les modes de fonctionnement, ainsi que la capacité du système à se développer et à s'améliorer en cours de fonctionnement.
Fiabilité. Différentes zones de sécurité doivent être également fiables en termes de probabilité de réalisation d'une menace.
Opportunité. La capacité d'un système à être proactif en analysant et en prédisant les menaces de sécurité et en développant des contre-mesures efficaces.
Continuité. Aucune interruption dans le fonctionnement des systèmes de sécurité causée par la réparation, le remplacement, la maintenance, etc.
Légalité. Développement de systèmes de sécurité basés sur la législation existante.
Suffisance raisonnable. Établir un niveau de sécurité acceptable auquel la probabilité et l'étendue des dommages possibles seront combinées avec les coûts maximums admissibles pour le développement et l'exploitation du système de sécurité.
Centralisation de la gestion. Fonctionnement indépendant du système de sécurité selon des principes organisationnels, fonctionnels et méthodologiques uniformes.
Compétence. Le système de sécurité doit être créé et géré par des personnes ayant une formation professionnelle suffisante pour une évaluation correcte de la situation et une prise de décision adéquate, y compris dans des conditions à haut risque.
Envoyez votre bon travail dans la base de connaissances est simple. Utilisez le formulaire ci-dessous
Les étudiants, les étudiants diplômés, les jeunes scientifiques qui utilisent la base de connaissances dans leurs études et leur travail vous seront très reconnaissants.
Publié sur http://www.allbest.ru/
PROJET DE COURS
Dans la discipline "Sécurité de l'Information"
Sur le thème de
"Améliorer le système de sécurité de l'information au
la société "Four"
introduction
Parlant de sécurité de l'information, ils désignent actuellement, à proprement parler, la sécurité informatique. En effet, l'information sur les médias électroniques joue un rôle croissant dans la vie. la société moderne... La vulnérabilité de telles informations est due à un certain nombre de facteurs : volumes énormes, multipoint et anonymat possible d'accès, possibilité de "sabotage de l'information"... Tout cela rend la tâche d'assurer la sécurité des informations postées dans un environnement informatique un problème bien plus difficile que, disons, de garder le secret de la correspondance postale traditionnelle.
Si nous parlons de la sécurité des informations stockées sur des supports traditionnels (papier, tirages photographiques, etc.), alors sa sécurité est obtenue en respectant des mesures de protection physique (c'est-à-dire la protection contre l'entrée non autorisée dans la zone de stockage du support). D'autres aspects de la protection de ces informations sont liés aux catastrophes naturelles et aux catastrophes causées par l'homme. Ainsi, la notion de sécurité de l'information « informatique » en général est plus large par rapport à la sécurité de l'information en relation avec les médias « traditionnels ».
Si nous parlons des différences d'approches pour résoudre le problème de la sécurité de l'information sur différents niveaux(état, régional, niveau d'une organisation), alors de telles différences n'existent tout simplement pas. Approche pour assurer la sécurité de l'État Système automatisé Les « élections » ne sont pas différentes d'une approche sécuritaire réseau local dans une petite entreprise. Par conséquent, les principes visant à garantir la sécurité de l'information dans ce travail sont pris en compte sur les exemples d'activités d'une organisation distincte.
L'objectif du projet de cours est d'améliorer le système de sécurité de l'information d'Oven LLC. Tâches dissertation sera - l'analyse de la SARL "Oven", ses ressources, sa structure et le système de sécurité de l'information existant dans l'entreprise et la recherche de méthodes pour l'améliorer.
Dans un premier temps, une analyse du système de sécurité de l'information sera réalisée. A partir des résultats obtenus, lors d'une deuxième étape, une recherche sera menée sur des méthodes pour améliorer la protection de l'information, s'il y a des faiblesses dans ce système.
1. Analyse du système de sécurité de l'information chez Oven LLC
1.1 Caractéristiques de l'entreprise. Structure organisationnelle et du personnel de l'entreprise. Service traitant des ressources informationnelles et de leur protection
La raison sociale complète de l'entreprise est Oven Limited Liability Company. Le nom abrégé de la Société est Oven LLC. Ci-après dénommée la Société. La Société n'a pas de succursales ni de bureaux de représentation; son seul centre est situé dans le territoire de Perm, district de Suksunsky, village de Martyanovo.
L'entreprise a été fondée en 1990 en tant que petite ferme et a eu trois fondateurs. Après la réorganisation de la ferme en ferme paysanne en 1998, le seul fondateur est resté. La dernière fois qu'il a été réorganisé, c'était en avril 2004. A partir du 1er avril, la société est devenue la société à responsabilité limitée "Four".
L'activité principale de l'entreprise est la culture de produits agricoles, de semences, la vente de produits agricoles. Aujourd'hui, en Russie, la société occupe la treizième place parmi les fermes de culture de pommes de terre et la première dans le territoire de Perm.
Adresse légale : Russie, 617553, territoire de Perm, Suksunsky, Martyanovo.
Les objectifs de l'entreprise dans son ensemble :
· Profiter de l'activité principale.
· Accroître la compétitivité des produits et élargir les marchés de vente.
· Concentration du capital et augmentation des ressources d'investissement pour la mise en œuvre d'investissements et d'autres projets.
Mission de l'entreprise de l'entreprise :
1. Continuer à occuper une position de leader sur le marché.
2. Création d'une ferme semencière.
Structure organisationnelle de l'entreprise.
L'entreprise utilise des structures linéaires fonctionnelles. Dans la structure linéaire-fonctionnelle, une hiérarchie de services est formée. Dans cette structure, les chefs d'unités fonctionnelles ont le droit de donner des ordres au niveau supérieur de gestion sur les questions fonctionnelles.
La structure de l'entreprise est illustrée à la figure 1.
Publié sur http://www.allbest.ru/
Publié sur http://www.allbest.ru/
Figure 1 - Structure organisationnelle de Oven LLC
1.2 Analyse et caractéristiques des ressources d'information de l'entreprise
Aujourd'hui, tout le monde est concerné par la sécurité des informations de l'entreprise. gagnent de plus en plus en popularité programmes individuels et des complexes entiers conçus pour protéger les données. Cependant, personne ne pense au fait que vous pouvez bénéficier d'une protection aussi fiable que vous le souhaitez, tout en perdant des informations importantes. Parce que certains de vos employés le considéreront comme insignifiant et l'exposeront au public. Et si vous êtes sûr d'être protégé contre cela, alors vous vous trompez grandement. À première vue, cette situation ressemble à quelque chose d'irréaliste, à une anecdote. Cependant, cela arrive, et cela arrive souvent. En effet, le personnel technique, qui dans l'écrasante majorité des cas traite des problèmes de sécurité de l'information, ne comprend pas toujours quelles données doivent être cachées et lesquelles ne le doivent pas. Pour comprendre, vous devez décomposer toutes les informations en différents types, qui sont généralement appelés types, et définissent clairement les frontières entre eux.
En effet, toutes les entreprises spécialisées dans la fourniture de systèmes de sécurité complexes informations informatiques, tenir compte de la division des données par différents types... Seulement ici, vous devez être prudent. Le fait est que les produits occidentaux suivent les normes internationales (notamment ISO 17799 et quelques autres). Selon eux, toutes les données sont divisées en trois types : ouvertes, confidentielles et strictement confidentielles. Pendant ce temps, dans notre pays, selon la législation en vigueur, une distinction légèrement différente est utilisée: information ouverte, à usage interne et confidentielle.
Ouvert signifie toute information qui peut être librement transférée à d'autres personnes, ainsi que placée dans les médias. Le plus souvent, il est présenté sous forme de communiqués de presse, de discours lors de conférences, de présentations et d'expositions, éléments distincts (naturellement positifs) de statistiques. De plus, ce timbre comprend toutes les données obtenues à partir de sources externes... Et, bien entendu, les informations destinées à un site Web d'entreprise sont également considérées comme publiques.
À première vue, il semble que l'information ouverte n'ait pas besoin d'être protégée. Cependant, les gens oublient que les données peuvent non seulement être volées, mais aussi modifiées. Par conséquent, le maintien de l'intégrité des informations ouvertes est une tâche très importante. Sinon, au lieu d'un communiqué de presse préparé, vous pourriez vous retrouver avec quelque chose d'incompréhensible. Ou page d'accueil le site Web de l'entreprise sera remplacé par des inscriptions offensantes. Les informations ouvertes doivent donc également être protégées.
Comme toute autre entreprise, la société dispose d'informations ouvertes, qui sont principalement contenues dans des présentations présentées aux investisseurs potentiels.
Les informations à usage interne comprennent toutes les données qui sont utilisées par les employés pour exercer leurs fonctions professionnelles. Mais ce n'est pas tout. Cette catégorie comprend toutes les informations qui sont échangées entre les différents départements ou branches pour assurer leur performance. Et enfin, le dernier type de données entrant dans cette catégorie de données sont les informations issues de sources ouvertes et soumises à un traitement (structuration, édition, clarification).
En effet, toutes ces informations, même si elles tombent entre les mains de concurrents ou d'attaquants, ne peuvent pas nuire gravement à l'entreprise. Cependant, son enlèvement peut encore causer des dommages. Disons que les employés ont collecté des nouvelles pour leur patron sur un sujet qui l'intéresse, parmi lesquels ils ont sélectionné les messages les plus importants et les ont marqués. Un tel condensé est clairement une information à usage interne (informations obtenues à partir de sources ouvertes et traitées). A première vue, il semble que les concurrents, l'ayant obtenu, ne pourront pas en profiter. Mais en fait, ils peuvent deviner à quelle direction d'activité s'intéresse la direction de votre entreprise, et, qui sait, peut-être sauront-ils même vous devancer. Par conséquent, les informations à usage interne doivent être protégées non seulement contre l'usurpation d'identité, mais également contre les accès non autorisés. Certes, dans l'écrasante majorité des cas, vous pouvez vous limiter à la sécurité du réseau local, car il est économiquement non rentable d'y dépenser des sommes importantes.
L'entreprise présente également ce type d'informations, qui sont contenues dans divers types de rapports, listes, extraits, etc.
Les informations confidentielles sont des informations documentées, dont l'accès est limité conformément à la législation de la Fédération de Russie, qui ne sont pas accessibles au public et, si elles sont divulguées, peuvent porter atteinte aux droits et aux intérêts légalement protégés de la personne qui les a fournies. La liste des données relatives à ce timbre est établie par l'Etat. Pour le moment, c'est comme suit : informations personnelles, les informations constituant un secret commercial, de fonction ou professionnel, les informations constituant un secret d'enquête et de travail de bureau. D'ailleurs dans Dernièrement les données sur l'essence d'une invention ou d'une découverte scientifique avant leur publication officielle ont commencé à être classées comme confidentielles.
Les informations confidentielles de l'entreprise comprennent des données telles que : plan de développement, travaux de recherche, documentation technique, dessins, répartition des bénéfices, contrats, rapports, ressources, partenaires, négociations, contrats, ainsi que des informations de nature gestion et planification.
L'entreprise compte une vingtaine de PC. Quant à la présence d'un réseau local dans l'entreprise, alors les PC de la société ne sont pas réunis en un seul réseau. De plus, tous les ordinateurs sont équipés d'un ensemble standard programmes de bureau et logiciel de comptabilité. Trois ordinateurs ont accès à Internet via le miniport WAN. Dans le même temps, aucun ordinateur de l'entreprise n'est équipé d'un programme antivirus. L'échange d'informations s'effectue au moyen de supports : lecteurs flash, disquettes. Toutes les informations sur les supports « traditionnels » se trouvent dans des armoires non verrouillées. Les documents les plus importants sont conservés dans un coffre-fort dont les clés sont conservées par le secrétariat.
sécurité de la protection des informations
1.3 Menaces et moyens de protection des informations dans l'entreprise
Menace pour la sécurité de l'information - un ensemble de conditions et de facteurs qui créent un danger potentiel ou réel associé à une fuite d'informations et/ou à des impacts non autorisés et/ou non intentionnels sur celles-ci
Selon les méthodes d'influence des objets de sécurité de l'information, les menaces pertinentes pour la société sont soumises à la classification suivante : informationnelle, logicielle, physique, organisationnelle et juridique.
Les menaces informatiques incluent :
· Accès non autorisé aux ressources d'information;
· Vol d'informations dans les archives et les bases de données ;
· Violation des technologies de traitement de l'information ;
· Collecte et utilisation illégales d'informations ;
Les menaces logicielles incluent :
· virus informatiques et les logiciels malveillants ;
Les menaces physiques comprennent :
· Destruction ou destruction des moyens de traitement de l'information et de communication ;
· Vol de supports d'information ;
· Impact sur le personnel;
Les menaces organisationnelles et juridiques comprennent :
· Acquisition de technologies de l'information et de moyens d'informatisation imparfaits ou obsolètes ;
Les moyens de sécurité de l'information sont un ensemble de dispositifs et dispositifs d'ingénierie, électriques, électroniques, optiques et autres, dispositifs et systèmes techniques, ainsi que d'autres éléments propriétaires utilisés pour résoudre diverses tâches de protection des informations, notamment la prévention des fuites et la garantie de la sécurité des informations protégées.
Considérez les outils de sécurité de l'information utilisés dans l'entreprise. Il y en a quatre (matériel, logiciel, mixte, organisationnel).
Protection matérielle- serrures, barreaux aux fenêtres, alarmes de sécurité, parasurtenseurs, caméras de vidéosurveillance.
Protection logicielle : utilisée par le système d'exploitation, comme la protection, le mot de passe, les comptes.
Moyens de protection organisationnels : aménagement des salles avec ordinateurs.
2 Améliorer le système de sécurité de l'information
2.1 Lacunes identifiées dans le système de sécurité de l'information
L'endroit le plus vulnérable dans la protection de l'information dans la société est la protection sécurité informatique... Au cours d'une analyse même superficielle dans l'entreprise, les inconvénients suivants peuvent être distingués :
§ Les informations sont rarement sauvegardées ;
§ Niveau insuffisant des logiciels de sécurité de l'information;
§ Certains employés ont des compétences informatiques insuffisantes ;
§ Il n'y a aucun contrôle sur les employés. Souvent, les employés peuvent quitter leur travail sans éteindre leur PC et sans avoir une clé USB avec des informations de service.
§ Absence de documents réglementaires sur la sécurité de l'information.
§ Tous les ordinateurs n'utilisent pas les outils du système d'exploitation tels que les mots de passe et les comptes.
2.2 Buts et objectifs de la formation d'un système de sécurité de l'information dans l'entreprise
L'objectif principal du système de sécurité de l'information est d'assurer le fonctionnement stable de l'installation, de prévenir les menaces à sa sécurité, de protéger les intérêts légitimes de l'entreprise contre les empiètements illégaux, d'empêcher le vol de fonds, la divulgation, la perte, la fuite, la distorsion et la destruction des informations de service, assurant les activités normales de production de toutes les divisions de l'installation. Un autre objectif du système de sécurité de l'information est d'améliorer la qualité des services fournis et de garantir la sécurité des droits et intérêts de propriété.
Les tâches de formation d'un système de sécurité de l'information dans une organisation sont : l'intégrité de l'information, la fiabilité de l'information et sa confidentialité. Une fois les tâches assignées terminées, l'objectif sera atteint.
La création de systèmes de sécurité de l'information (SSI) dans le SI et l'IT repose sur les principes suivants :
Une approche systématique de la construction d'un système de sécurité, ce qui signifie la combinaison optimale de propriétés organisationnelles, logicielles, matérielles, physiques et autres interdépendantes, confirmée par la pratique de créer des systèmes de sécurité nationaux et étrangers et utilisée à toutes les étapes du cycle technologique de traitement de l'information .
Le principe du développement continu du système. Ce principe, qui est l'un des fondamentaux de l'informatique systèmes d'information, est encore plus pertinent pour NIB. Les méthodes de mise en œuvre des menaces sur l'information dans l'informatique s'améliorent constamment, et donc assurer la sécurité du SI ne peut pas être un acte ponctuel. Il s'agit d'un processus continu, qui consiste en la justification et la mise en œuvre des méthodes, méthodes et moyens les plus rationnels d'amélioration de la NIB, une surveillance continue, l'identification de ses points faibles, les canaux potentiels de fuite d'informations et les nouvelles voies d'accès non autorisé.
Séparation et minimisation des pouvoirs d'accès aux informations traitées et aux procédures de traitement, c'est-à-dire fournir à la fois aux utilisateurs et aux travailleurs de la propriété intellectuelle eux-mêmes un minimum de pouvoirs strictement définis et suffisants pour qu'ils puissent exercer leurs fonctions officielles.
Intégralité du contrôle et de l'enregistrement des tentatives d'accès non autorisées, c'est-à-dire la nécessité d'établir avec précision l'identité de chaque utilisateur et d'enregistrer ses actions en vue d'une éventuelle enquête, ainsi que l'impossibilité d'effectuer tout traitement informatique en informatique sans son enregistrement préalable.
Assurer la fiabilité du système de protection, c'est-à-dire l'impossibilité de réduire le niveau de fiabilité en cas de pannes, de pannes, d'actions délibérées d'un cambrioleur ou d'erreurs involontaires des utilisateurs et du personnel de service dans le système.
Assurer le contrôle du fonctionnement du système de protection, c'est-à-dire création de moyens et de méthodes de contrôle de la performance des mécanismes de protection.
Fournir toutes sortes de moyens de traiter malware.
Assurer la faisabilité économique de l'utilisation du système de protection, qui s'exprime par l'excès des dommages possibles à la propriété intellectuelle et à l'informatique résultant de la mise en œuvre de menaces par rapport au coût de développement et d'exploitation de la NIB.
2.3 Actions proposées pour améliorer le système de sécurité de l'information de l'organisation
Les lacunes identifiées dans l'entreprise nécessitent leur élimination, par conséquent, les mesures suivantes sont proposées.
§ Sauvegarde régulière de la base de données avec les données personnelles des salariés de l'entreprise, les données comptables et autres bases de données disponibles dans l'entreprise. Cela empêchera la perte de données due à des pannes de disque, des pannes de courant, des virus et d'autres accidents. Une planification minutieuse et des procédures de sauvegarde régulières vous permettent de restaurer rapidement les données en cas de perte de données.
§ Utilisation des outils du système d'exploitation sur chaque ordinateur. Création de comptes pour les professionnels et changements réguliers de mot de passe pour ces comptes.
§ Formation du personnel de l'entreprise pour travailler avec des ordinateurs. Condition nécessaire pour travail correct sur les postes de travail et éviter la perte et l'endommagement des informations. Le travail de toute l'entreprise dépend des compétences d'utilisation d'un PC par le personnel, en termes d'exécution correcte.
§ Installer des programmes antivirus sur des ordinateurs tels que : Avast, NOD, Doctor Web, etc. Cela empêchera vos ordinateurs d'infecter vos ordinateurs avec divers types de logiciels malveillants appelés virus. C'est très important pour cette entreprise, car plusieurs PC ont accès à Internet et les employés utilisent des supports flash pour échanger des informations.
§ Contrôle des employés à l'aide de caméras vidéo. Cela réduira l'incidence de la manipulation négligente de l'équipement, le risque de vol et de dommages de l'équipement, et vous permettra également de contrôler la "suppression" des informations officielles du territoire de la société.
§ Élaboration d'un document normatif « Mesures de protection des informations dans Oven LLC et responsabilité pour leurs violations », qui serait conforme à la législation en vigueur de la Fédération de Russie et déterminerait les risques, les violations et la responsabilité de ces violations (amendes, sanctions). Et aussi l'introduction de la colonne appropriée dans le contrat de travail de l'entreprise qu'il connaît et s'engage à respecter les dispositions du présent document.
2.4 Efficacité des mesures proposées
Les mesures proposées portent non seulement des aspects positifs, tels que l'élimination des principaux problèmes dans l'entreprise liés à la sécurité de l'information. Mais dans le même temps, ils nécessiteront des investissements supplémentaires dans la formation du personnel, l'élaboration de documents réglementaires liés à la politique de sécurité. Cela nécessitera des coûts de main-d'œuvre supplémentaires et n'exclura pas complètement les risques. Il y aura toujours un facteur humain, force majeure. Mais si de telles mesures ne sont pas prises, les coûts de récupération des informations, les opportunités perdues coûteront plus que les coûts nécessaires pour développer un système de sécurité.
Considérez les résultats des mesures proposées :
1. Améliorer la fiabilité du SI de l'organisation ;
2. Augmenter le niveau de maîtrise de l'informatique du personnel ;
3. Réduction du risque de perte d'informations ;
4. Disponibilité d'un document réglementaire définissant une politique de sécurité.
5. Réduisez éventuellement le risque de saisir / retirer des informations de l'entreprise.
3 Modèle de sécurité de l'information
Le modèle de sécurité de l'information présenté (figure 2) est une combinaison de facteurs externes et internes objectifs et de leur influence sur l'état de la sécurité de l'information dans l'installation et sur la sécurité des ressources matérielles ou informationnelles.
Figure 2 - Modèle du système de sécurité de l'information
Ce modèle est conforme aux documents réglementaires spéciaux sur la sécurité de l'information adoptés dans la Fédération de Russie, à la norme internationale ISO / IEC 15408 "Technologies de l'information - méthodes de sécurité - critères d'évaluation de la sécurité de l'information", à la norme ISO / IEC 17799 "Gestion de la sécurité de l'information", et prend en compte les tendances de développement du cadre réglementaire national (en particulier, la Commission technique d'État de la Fédération de Russie) sur la sécurité de l'information.
Conclusions et offres
L'ère de l'information a entraîné des changements spectaculaires dans la façon dont un grand nombre de professions exercent leurs fonctions. Désormais, le spécialiste non technique de niveau intermédiaire peut effectuer le travail que le programmeur hautement qualifié faisait auparavant. L'employé a à sa disposition autant d'informations précises et opportunes qu'il n'en a jamais eu.
Mais l'utilisation d'ordinateurs et de technologies automatisées pose un certain nombre de défis pour la gestion d'une organisation. Les ordinateurs, souvent connectés en réseaux, peuvent donner accès à une énorme quantité de données très variées. Par conséquent, les gens s'inquiètent de la sécurité des informations et des risques associés à l'automatisation et à l'accès beaucoup plus large aux données confidentielles, personnelles ou autres. Le nombre de délits informatiques est en augmentation, ce qui peut conduire, à terme, à fragiliser l'économie. Il doit donc être clair que l'information est une ressource qui doit être protégée.
Et puisque l'automatisation a conduit au fait que les opérations avec des équipements informatiques sont désormais effectuées par des employés ordinaires de l'organisation, et non par du personnel technique spécialement formé, il est nécessaire que les utilisateurs finaux soient conscients de leur responsabilité de protéger les informations.
Il n'existe pas de recette unique qui offre une garantie à 100 % de la sécurité des données et un fonctionnement fiable du réseau. Cependant, la création d'un concept de sécurité complet et bien pensé qui prend en compte les spécificités des tâches d'une organisation particulière contribuera à réduire au minimum le risque de perdre des informations précieuses. Protection informatique est une lutte constante contre la bêtise des utilisateurs et l'intelligence des hackers.
En conclusion, je voudrais dire que la protection de l'information ne se limite pas aux méthodes techniques. Le problème est beaucoup plus large. Le principal inconvénient de la protection est les personnes, et donc la fiabilité d'un système de sécurité dépend principalement de l'attitude des employés de l'entreprise à son égard. De plus, la protection doit être constamment améliorée avec le développement du réseau informatique. N'oubliez pas que ce n'est pas le système de sécurité qui interfère avec le travail, mais son absence.
Je voudrais également, en résumant les résultats de ce projet de cours, noter qu'après analyse du système de sécurité de l'information de l'entreprise Oven, cinq lacunes ont été identifiées. Après la recherche, des solutions ont été trouvées pour les éliminer, ces lacunes peuvent être corrigées, ce qui améliorera le SI de l'entreprise dans son ensemble.
Au cours des actions ci-dessus, les compétences pratiques et théoriques de l'étude du système de sécurité de l'information ont été développées, par conséquent, l'objectif du projet de cours a été atteint. Grâce aux solutions trouvées, on peut dire que toutes les tâches du projet ont été accomplies.
Bibliographie
1.GOST 7.1-2003. Notice bibliographique. Description bibliographique. Exigences générales et règles d'élaboration (M. : Maison d'édition des normes, 2004).
2. Galatenko, V.A. « Les bases de la sécurité de l'information ». - M. : « Intuit », 2003.
3. Zavgorodniy, V. I. "Protection complète des informations dans systèmes informatiques". - M. : "Logos", 2001.
4. Zegzhda, D.P., Ivashko, A.M. "Les fondamentaux de la sécurité des systèmes d'information".
5. Nosov, V.A. Cours d'introduction à la discipline "Sécurité de l'information".
6. Loi fédérale de la Fédération de Russie du 27 juillet 2006 N 149-FZ "Sur l'information, informatique et sur la protection des informations "
Publié sur Allbest.ru
Documents similaires
Caractéristiques des ressources d'information de l'exploitation agricole d'Ashatli. Menaces de sécurité des informations spécifiques à l'entreprise. Mesures, méthodes et moyens de protection de l'information. Analyse des lacunes de l'existant et des avantages du système de sécurité mis à jour.
dissertation ajoutée le 02/03/2011
informations générales sur les activités de l'entreprise. Objets de sécurité de l'information dans l'entreprise. Mesures et moyens de protection des informations. Copie de données sur un support amovible. Installation d'un serveur de sauvegarde interne. L'efficacité de l'amélioration du système de sécurité de l'information.
test, ajouté 29/08/2013
Concept, sens et orientations de la sécurité de l'information. Une approche systématique pour organiser la sécurité des informations, protégeant les informations contre les accès non autorisés. Outils de sécurité de l'information. Méthodes et systèmes de sécurité de l'information.
résumé, ajouté 15/11/2011
Système de formation du régime de sécurité de l'information. Tâches de sécurité de l'information de la société. La sécurité de l'information signifie : méthodes et systèmes de base. Protection des informations dans réseaux informatiques... Dispositions des actes législatifs les plus importants de la Russie.
résumé, ajouté le 20/01/2014
Analyse des risques liés à la sécurité de l'information. Évaluation des remèdes existants et prévus. Un ensemble de mesures organisationnelles pour assurer la sécurité des informations et la protection des informations d'entreprise. Cas test de mise en œuvre du projet et sa description.
thèse, ajoutée le 19/12/2012
Une stratégie de sécurité de l'information d'entreprise sous la forme d'un système de politiques efficaces qui définiraient un ensemble efficace et suffisant d'exigences de sécurité. Identification des menaces à la sécurité de l'information. Contrôle interne et gestion des risques.
dissertation, ajouté le 14/06/2015
Description de l'ensemble des tâches et justification de la nécessité d'améliorer le système de sécurité et de protection de l'information dans l'entreprise. Développement d'un projet d'utilisation d'un SGBD, de sécurité de l'information et de protection des données personnelles.
thèse, ajoutée le 17/11/2012
Documents réglementaires dans le domaine de la sécurité de l'information en Russie. Analyse des menaces sur les systèmes d'information. Caractéristiques de l'organisation du système de protection des données personnelles de la clinique. Mise en place d'un système d'authentification par clés électroniques.
thèse, ajoutée le 31/10/2016
Prérequis à la création d'un système de sécurité des données personnelles. Menaces à la sécurité de l'information. Sources d'accès non autorisé à l'ISPD. Le dispositif des systèmes d'information de données personnelles. Outils de sécurité de l'information. Politique de sécurité.
dissertation ajoutée le 10/07/2016
Tâches, structure, mesures physiques, logicielles et matérielles pour protéger le système d'information. Types et causes de délits informatiques, moyens d'améliorer la politique de sécurité de l'organisation. Objectif et fonctions principales du dossier "Journal" dans MS Outlook 97.
PROJET DE COURS
sur le thème : "Amélioration du système de sécurité de l'information dans l'entreprise LLC" MC "Ashatli"
introduction
Le sujet de l'élaboration d'une politique de sécurité de l'information dans les entreprises, les entreprises et les organisations est pertinent dans le monde moderne. La sécurité de l'information (au niveau des entreprises et des organisations) est la sécurité de l'information et des infrastructures de support contre les influences accidentelles ou délibérées de nature naturelle ou artificielle, qui peuvent causer des dommages inacceptables aux sujets des relations d'information.
L'entreprise dispose d'un local moderne réseau informatique et le logiciel nécessaire est installé, et il y a aussi une connexion Internet. Avec l'existence de tant de ressources informationnelles, il est également nécessaire d'avoir une politique de sécurité de l'information. Dans cette entreprise, il est nécessaire d'améliorer la politique de sécurité de l'information pour minimiser les menaces à la sécurité de l'information, ce qui est l'objectif de ce projet de cours. La menace à la sécurité de l'information est une action réelle ou potentielle visant à des atteintes à la sécurité de l'information, entraînant des dommages matériels et moraux.
1. Analyse de la sécurité de l'information d'Ashatli MC LLC
Informations générales sur l'organisation
Agroholding "Ashatli" est un groupe d'entreprises agricoles en développement dynamique, intégré verticalement et horizontalement, participant au projet "Achetez Permskoe!".
Agroholding "Ashatli" a été fondée en 2007 et exerce aujourd'hui les domaines d'activité suivants : production laitière, transformation laitière, culture de plantes, culture de légumes, de salades et de légumes verts sous serre, floriculture hydroponique, ainsi que vente au détail de terres et de viande.
L'un des avantages d'être une holding en développement dynamique est une approche flexible des spécificités du travail et des souhaits des clients. Les spécialistes de l'entreprise sont capables d'effectuer des travaux de presque tous les volumes et complexités. L'expérience de travail polyvalente et le professionnalisme du personnel nous permettent de garantir l'achèvement de toutes les tâches dans les délais convenus.
Emplacement de la SARL Société de gestion"Ashatli"
614010, Russie, Territoire de Perm, Perm, perspective Komsomolsky, 70a
1.2 Caractéristiques des ressources informationnelles de l'entreprise
Conformément à la loi fédérale sur l'information, les technologies de l'information et la protection de l'information, les informations accessibles au public comprennent les informations généralement connues et d'autres informations dont l'accès n'est pas limité. Les informations accessibles au public peuvent être utilisées par toute personne à sa discrétion, sous réserve des restrictions établies par les lois fédérales concernant la diffusion de ces informations.
Dans LLC "MC" Ashatli ", les informations accessibles au public sont présentées sur le site Web de l'entreprise ou peuvent être fournies par les directeurs de campagne. Ces informations comprennent :
informations contenues dans la charte de l'organisation.
États financiers;
Composition de la direction, etc. ;
Informations sur les prix et les appels d'offres de la campagne ;
Informations sur les postes vacants et informations sur le nombre et la composition des employés, sur leurs conditions de travail, sur le système de rémunération ;
Coordonnées des responsables de campagne ;
L'organisation dispose également d'informations sur l'utilisation et la distribution dont les restrictions ont été imposées par leur propriétaire, c'est-à-dire. organisation. Ces informations sont dites protégées. Il comprend des informations concernant la vie personnelle des employés de l'organisation.
Le prochain type d'information est l'information sur les secrets commerciaux. Conformément à la loi fédérale "sur l'information, les technologies de l'information et la protection de l'information", les informations constituant un secret commercial (secret de production) sont des informations de toute nature (production, technique, économique, organisationnelle et autres), y compris les résultats d'une activité intellectuelle dans domaine scientifique et technique, ainsi que des informations sur les modalités d'exercice d'activités professionnelles qui ont une valeur commerciale réelle ou potentielle du fait de leur méconnaissance des tiers, auxquelles les tiers n'ont pas légalement accès librement, à l'égard desquelles le propriétaire de ces informations a introduit un régime de secret commercial (p. . 2 tel que modifié par la loi fédérale n° 231-FZ du 18.12.2006)
Les informations suivantes sont classées comme un secret commercial dans Ashatli Management Company LLC :
Informations sur l'identité des employés, adresses de domicile.
Informations sur les clients, leurs contacts et leurs données personnelles.
Informations sur les projets, les termes et conditions des contrats.
Les ressources d'information de l'entreprise comprennent les documents et actes papier, le réseau local.
1.3 Menaces de sécurité de l'information spécifiques à l'entreprise
Une menace pour la sécurité de l'information est comprise comme la violation potentielle des qualités ou propriétés de base de l'information - disponibilité, intégrité et confidentialité. Le principal type de menace à la sécurité de l'information pour une entreprise donnée peut être considéré comme un accès non autorisé aux informations liées aux secrets commerciaux.
Selon les méthodes d'influence des objets de sécurité de l'information, les menaces pertinentes pour la société sont soumises à la classification suivante : informationnelle, logicielle, physique, organisationnelle et juridique.
Les menaces informatiques incluent :
accès non autorisé aux ressources d'information;
vol d'informations dans les archives et les bases de données ;
la collecte et l'utilisation illégales d'informations ;
Les menaces logicielles incluent :
virus informatiques et logiciels malveillants ;
Les menaces physiques comprennent :
destruction ou destruction des moyens de traitement de l'information et de communication ;
vol de supports d'information;
impact sur le personnel;
Les menaces organisationnelles et juridiques comprennent :
acquisition de technologies de l'information et de moyens d'informatisation imparfaits ou obsolètes ;
L'entreprise d'Ashatli Management Company LLC peut être exposée à de telles menaces d'information, telles que
Piratage de bases de données ou utilisation non autorisée d'informations commerciales afin de transférer des données à des concurrents de l'entreprise, ce qui peut nuire aux activités de l'entreprise et, dans des cas extrêmes, conduire à sa ruine, sa liquidation.
Divulgation d'informations confidentielles par les employés, leur utilisation à des fins égoïstes à des fins lucratives, car de nombreux employés ont accès à la base de données 1C Trade Management.
Les employés de l'entreprise peuvent intentionnellement ou accidentellement influencer la diffusion d'informations, par exemple par e-mail,ICQet d'autres moyens de communication numériques, qui peuvent nuire à la réputation de l'entreprise, car ils ont accès aux informations de l'organisation.
L'une des menaces les plus courantes pour la sécurité de l'information sont les défaillances et les défaillances des logiciels, des moyens techniques de l'entreprise, car l'équipement est souvent même les plus récents dysfonctionnements, et l'entreprise peut également être équipée d'équipements techniquement de mauvaise qualité.
Chez LLC MC Ashatli, une situation d'accès physique non autorisé à moyens techniques, qui sont des sources d'informations, également le vol de supports contenant des informations importantes (lecteur flash, disque dur externe, etc.) ou uniquement des données. Fondamentalement, il s'agit du vol de propriété intellectuelle via le réseau ou du vol physique de supports.
L'un des nombreux importants menaces informatiques sont les erreurs du personnel de l'organisation. Les omissions dans le travail des managers, l'exécution inéquitable de leurs fonctions par les consultants peuvent conduire à une violation de l'intégrité des informations, et des situations de conflit avec les clients peuvent également survenir.
Les menaces logicielles comprennent divers logiciels malveillants, la perte de mots de passe, l'insécurité du logiciel utilisé et l'absence de système de sauvegarde.
1.4 Mesures, méthodes et moyens de protection de l'information appliqués dans l'entreprise
Le niveau de protection législatif est un ensemble d'actes législatifs dans le domaine de l'information et des technologies de l'information. Ce niveau comprend : la Constitution de la Fédération de Russie, le Code civil de la Fédération de Russie, le Code pénal de la Fédération de Russie, la loi fédérale "sur l'information, les technologies de l'information et la protection de l'information", etc.
Le niveau administratif de protection de l'information est reflété dans le programme de sécurité de l'information. La base du programme est la politique de sécurité de l'information - un document publié (ensemble de documents), qui est adopté par la direction de l'organisation et vise à protéger les ressources d'information de cette organisation. Cette organisation n'a pas développé de politique de sécurité de l'information et ce niveau de protection de l'information n'est pas représenté.
Les mesures de niveau procédural utilisées pour protéger les informations dans Ashatli Management Company LLC incluent le fait que le passage dans le bâtiment n'est effectué que sur accord préalable, ainsi qu'une alarme est installée dans le bâtiment. Aussi sun contrat a été conclu pour la protection des locaux avec sécurité privée.
Considérez les outils de sécurité de l'information utilisés dans l'entreprise. Il y en a quatre (matériel, logiciel, mixte, organisationnel).
Usage Logiciel antivirus sur tous les ordinateurs (ESET NOD32 Business Edition NOD 32 Antivirus)
Utilisation de la fonction intégrée Outils Windows pour autoriser un utilisateur d'ordinateur.
Utilisation de login / mots de passe spéciaux pour l'autorisation dans la base de données 1C Trade Management.
Moyens de protection matérielle - serrures, grilles sur les fenêtres, alarmes antivol, parasurtenseurs, caméras de vidéosurveillance.
Protections logicielles : les moyens sont utilisés système opérateur tels que la protection, le mot de passe, les comptes.
Moyens de protection organisationnels : aménagement des salles avec ordinateurs.
Au niveau matériel et logiciel, les mesures suivantes sont appliquées pour protéger les informations :
2. Améliorer le système de sécurité de l'information
2.1 Lacunes du système de sécurité de l'information
Certaines des menaces à la sécurité de l'information, telles que l'accès non autorisé de l'extérieur, le fonctionnement incorrect du logiciel ou les défaillances techniques, sont neutralisées avec succès par une configuration et une administration de réseau compétentes, mais il n'existe aucune mesure pour prévenir les menaces internes.
Au cours du processus d'analyse du système de sécurité de l'information existant chez Ashatli MC LLC, les lacunes suivantes ont été identifiées :
Utilisation pas complète Fonctionnalité 1C. Les droits d'accès aux données de la base de données ne sont pas complètement délimités, de même que les mots de passe ne répondent pas aux exigences de complexité ou que certains employés ne les utilisent tout simplement pas.
Il n'y a aucune restriction sur les formats et les tailles des données transmises via Internet (*.député3,*. avi,*. rar) pour certains salariés.
Certains employés stockent des informations confidentielles dans des dossiers publics simplement à cause de leur propre négligence, et stockent également le login / mot de passe des systèmes d'information nécessitant une autorisation dans des endroits facilement accessibles sur le bureau.
Les informations sur papier ne sont pratiquement pas protégées, à l'exception des plus importantes. (Contrats de prêt, rentes, résultats d'inspection, etc.)
2.2 Buts et objectifs de la formation du système de sécurité de l'information dans l'entreprise
Ainsi, nous pouvons conclure qu'il existe un besoin important d'améliorer le système de sécurité de l'information existant. Il est également nécessaire de protéger soigneusement la clientèle de la campagne, car cela est très une information important, qui ne fait pas l'objet d'une divulgation entre étrangers.
Les employés de la campagne ne réalisent souvent pas que la vitesse de l'entreprise et, par conséquent, sa compétitivité, et donc le niveau de leurs salaires, dépendent directement de la bonne organisation de l'intégrité des bases de données et des documents, en les maintenant dans une forme ordonnée.
La plus grande menace pour la fonctionnalité de la comptabilité électronique est constituée par divers virus qui pénètrent sur les ordinateurs du réseau via Internet, ainsi que par la possibilité d'accéder aux répertoires et documents électroniques de personnes non autorisées.
Objectifs de sécurité de l'information :
– prévention des menaces à la sécurité de l'entreprise dues à des actions non autorisées visant à détruire, modifier, déformer, copier, bloquer des informations ou d'autres formes d'interférence illégale avec les ressources d'information et les systèmes d'information ;
– conservation de secrets commerciaux traités à l'aide de la technologie informatique;
– protection des droits constitutionnels des citoyens au maintien du secret personnel et de la confidentialité des données personnelles disponibles dans les systèmes d'information.
Les tâches de formation d'un système de sécurité de l'information dans une organisation sont : l'intégrité de l'information, la fiabilité de l'information et sa confidentialité. Une fois les tâches assignées terminées, l'objectif sera atteint.
2.3 Mesures proposées pour améliorer le système de sécurité de l'information aux niveaux législatif, administratif, procédural et matériel-logiciel
Pour éliminer les lacunes identifiées dans le système de sécurité de l'information d'Ashatli MC LLC, il est proposé d'introduire les mesures suivantes :
Au niveau législatif, aucun changement n'est prévu pour introduire de nouvelles mesures pour assurer la sécurité de l'information.
Il est nécessaire d'introduire des mesures au niveau administratif dans la politique de sécurité de l'entreprise. Au niveau administratif, il est proposé :
Créer une série d'instructions sur la sécurité de l'information au sein de l'entreprise pour certaines catégories d'employés (changer et stocker les mots de passe dans des endroits inaccessibles, interdire les visites à des ressources tierces, etc.).
Fournir un certain nombre de mesures de motivation pour motiver les employés à se conformer à la politique de sécurité, ainsi que punir les violations flagrantes de la politique de sécurité de l'entreprise. (bonus et malus)
Pour améliorer le système de sécurité au niveau procédural, les séries de mesures suivantes sont proposées :
Restreindre l'accès des personnes non autorisées à certains services de l'entreprise.
Mener une série d'activités de consultation avec les employés de l'organisation sur les questions de sécurité de l'information et les instructions pour le respect de la politique de sécurité.
Au niveau matériel et logiciel, il est proposé d'introduire les mesures suivantes :
Exiger que tous les employés utilisent des mots de passe pour accéder à la base de données 1C et délimiter plus soigneusement l'accès à certaines données de la base de données (ouvrages de référence, documents et rapports) pour tous les employés.
Tout doit être changé connexions standards et mots de passe pour accéderADSL-Le routeur a besoin des mots de passe correspondant au niveau de difficulté.
Introduisez des restrictions sur les formats et les tailles de fichiers transmis sur Internet aux employés individuels en créant des filtres dansESETHOCHER LA TÊTE32 EntrepriseÉdition
Ainsi, nous avons décidé des changements de le système existant sécurité de l'information d'Ashatli Management Company LLC. Parmi ces changements, la clé est le travail avec le personnel, car peu importe la perfection Logiciel la protection des informations n'a pas été mise en œuvre, cependant, tout le travail avec eux est effectué par le personnel et les principales défaillances du système de sécurité de l'organisation sont généralement causées par le personnel. Un personnel correctement motivé, concentré sur la performance, est déjà la moitié de ce qui est nécessaire au fonctionnement efficace de tout système.
2.4 Efficacité des mesures proposées
Le principal avantage du système de sécurité mis à jour d'Ashatli Management Company LLC réside dans les changements d'attitude du personnel. La plupart des problèmes du système de sécurité existant ont été causés par le personnel.
Avantages de l'utilisationESET NOD32 Édition Professionnelle :
destiné aux entreprises de 5 à 100 000 PC au sein d'une même structure
installé à la fois sur le serveur et sur les postes de travail
protection proactive contre les menaces inconnues
application de technologies intelligentes qui combinent des méthodes de détection heuristique et de signature
moteur heuristique ThreatSensetm mis à jour
ordinaire mise à jour automatique bases de signature
Solution évolutive
Technologies modernes
analyse complète de tous les courriers entrants via les protocoles POP3 et POP3s
analyser les e-mails entrants et sortants
rapport détaillé sur les logiciels malveillants détectés
intégration complète dans populaire clients de messagerie: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird et The Bat! Restreindre les types et les volumes de fichiers transmis et reçus via Internet par les employés, d'une part, limitera la fuite de toute information importante pour l'organisation, et d'autre part, réduira la charge sur Internet, puisque Les données des canaux de transmission ne seront pas occupées par le transfert d'informations superflues.
Gestion centralisée
Avec l'aide de la solution Administrateur à distance ESET vous pouvez installer et désinstaller à distance des produits logiciels ESET , surveiller le fonctionnement du logiciel antivirus, créer des serveurs au sein du réseau pour les mises à jour des produits locaux ESET (« Miroirs »), ce qui peut réduire considérablement le trafic Internet externe.
ESET NOD 32 Edition commerciale génère automatiquement un rapport sur les objets infectés détectés envoyés en quarantaine, sur la dynamique des menaces, des événements, des analyses, des tâches, vous pouvez générer divers rapports combinés, etc. Il est possible d'envoyer des avertissements et des messages via le protocole SMTP ou via un gestionnaire de messages.
Filtrage des e-mails et du contenu Web
Rapports pratiques
Une protection antivirus et réseau de haute qualité aidera à éviter les interruptions de fonctionnement des ordinateurs, ce qui est particulièrement important pour les lieux de travail des gestionnaires et des consultants. Ces améliorations affecteront la fiabilité de la campagne en tant que partenaire commercial pour de nombreux clients, ce qui aura un effet bénéfique sur l'image de la campagne ainsi que sur ses revenus. La sauvegarde automatique des informations garantira leur intégrité et leur sécurité, et l'archivage permettra de les restaurer rapidement dans les situations nécessaires.
3. Modèle de sécurité de l'information
Le modèle de sécurité de l'information présenté est une combinaison de facteurs externes et internes objectifs et de leur influence sur l'état de la sécurité de l'information dans l'installation et sur la sécurité des ressources matérielles ou informationnelles. Les moyens matériels et techniques, les données personnelles, les documents sont considérés comme des objets.
VOLUME PROTÉGÉQui
OBJETS PROTÉGÉS- données personnelles des étudiants f
un culte;Dossiers personnels des étudiants ;
Cartes personnelles des étudiants;
Documents à jour ;
Valeurs matérielles et techniques.
DES MENACES SÉCURITÉ
- vol;
- l'accès non autorisé;
- violation de l'intégrité des informations rations;
Pannes matérielles et logicielles.
MÉTHODES DE PROTECTION
- les règlements ;
- les mesures et méthodes organisationnelles, techniques et de sécurité ;
- mode logiciel et matériel obs;
Protection organisationnelle.
SOURCES DE MENACES
- sources anthropiques (personnel, étudiants, intrus);
Sources technologiques (logiciels et matériels);
Sources spontanées de menaces (incendies, inondations, tremblements de terre, etc.).
Conclusion
Au cours du projet de cours, une analyse des moyens de sécurité de l'information d'Ashatli Management Company LLC a été réalisée. Une analyse des ressources d'information de l'entreprise a été effectuée, une analyse des menaces à la sécurité de l'information a été effectuée et les lacunes correspondantes ont été identifiées.
La mise en œuvre des mesures proposées pour éliminer les lacunes permettra à l'entreprise d'augmenter l'efficacité des moyens de protection et de réduire le risque de perte d'informations. Il convient de noter que le processus d'organisation ou de réorganisation de la sécurité de l'information est un processus complexe dans lequel les programmes, le personnel et la technologie interagissent simultanément.
Pour résoudre le problème de la sécurité de l'information, il est nécessaire d'appliquer des mesures législatives, organisationnelles et logicielles-techniques, qui permettront de l'éliminer complètement.
Liste de la littérature utilisée
Maklakov S.V. Création de systèmes d'information avec AllFusion Modeling Suite. - M. : Dialogue-MEPhI, 2003.-- 432 p.
www. ashatli-agro.ru
Loi fédérale n° 231-F "sur l'information, les technologies de l'information et la protection de l'information" du 18.12.2006.
Loi fédérale de la Fédération de Russie du 27 juillet 2006 n° 149-FZ "sur l'information, les technologies de l'information et la protection de l'information"
Ministère de l'Intérieur de la Fédération de Russie
Établissement d'enseignement du Trésor de l'État fédéral
l'enseignement supérieur
« Institut de droit d'Ufa du ministère de l'Intérieur de la Russie
Fédération "
Présentation du travail final qualificatif à
matière:
Système de sécurité en russe
Fédération et moyens de l'améliorer
L'auteur de l'œuvre : Art. gr. EK / b-52z Lukyanova O.A.
Tête : Ph.D. Berezinets O.M.
But et objectifs, objet et sujet de recherche
But de l'étude:développement d'un concept scientifiquement fondé du système de sécurité et
fournir des moyens de l'améliorer dans la Fédération de Russie.
Objectifs de recherche:
considérer les bases du concept et du contenu des activités pour assurer la sécurité nationale
RF ;
explorer la fourniture de cadres conceptuels et réglementaires pour les
sécurité de la Fédération de Russie;
étudier la stratégie de sécurité nationale de la Fédération de Russie et les tâches des forces de l'ordre
organes;
refléter la sécurité économique en tant qu'élément faisant partie intégrante de la politique nationale et sociale sécurité Economique pays : concept et réglementation ;
analyser l'état actuel, les menaces et la valeur seuil de la sécurité économique ;
envisager des méthodes pour déterminer le niveau de sécurité économique dans la Fédération de Russie ;
enquêter sur le mécanisme permettant d'assurer la sécurité économique de la Fédération de Russie ;
refléter les problèmes de mise en œuvre de la sécurité économique de la Fédération de Russie;
proposer des moyens d'améliorer la sécurité économique de la Fédération de Russie.
Objet et sujet de recherche :
L'objet est le système de sécurité de la Fédération de Russie.
L'objet de la recherche est les caractéristiques des relations associées au système de sécurité dans
Fédération Russe.
Principes fondamentaux du concept et du contenu des activités visant à assurer la sécurité nationale de la Fédération de Russie
1. La spécificité de la politique de sécurité nationale estle fait que c'est l'activité de l'État, de la société et des citoyens d'identifier,
contrôle, prévention, parade, réduction, localisation,
neutralisation et élimination des possibilités de causer des dommages aux autochtones
intérêts du pays et leur mise en œuvre
2. L'objet même de l'influence des forces et des moyens d'appui
sécurité nationale - menaces et dangers - représentent
sont des problèmes d'échelle nationale provenant de diverses sphères
vie sociale, mettant le pays au bord de la survie.
3. Système de sécurité nationale
est un amalgame d'organismes et de forces de défense,
l'État et la sécurité publique.
4. Les activités des pouvoirs publics et de la gestion sur
stabilisation économique, sécurité sociale de la population, en
les domaines de la santé, de l'éducation, de la culture et de la protection de l'environnement
l'environnement naturel crée la base nécessaire pour assurer
la sécurité nationale, et y est souvent inclus comme
partie intégrante du sous-système de prévention des menaces.
Cadre juridique et réglementaire pour assurer la sécurité publique de la Fédération de Russie
La Constitution de la Fédération de Russie, les lois fédérales, les lois des entités constitutives de la Fédération de Russie,actes juridiques réglementaires du président de la Fédération de Russie et du gouvernement de la Fédération de Russie
Des documents conceptuels tels que la Stratégie du National
sécurité de la Fédération de Russie et le Concept de sécurité publique de la Fédération de Russie. Détaillé
la liste de la base légale pour assurer la sécurité publique est contenue dans l'art. sept
« Le concept de sécurité publique dans la Fédération de Russie », dans lequel, en plus de
des actes juridiques normatifs susmentionnés indiquent les principes et
les normes du droit international, les traités internationaux, ainsi que les constitutions
(chartes) des entités constitutives de la Fédération de Russie et des municipalités
Un certain nombre de statuts sont également mis en évidence : actes juridiques réglementaires
autorités exécutives fédérales et autorités exécutives
sujets de la Fédération de Russie, actes juridiques normatifs départementaux.
La stratégie de sécurité nationale de la Fédération de Russie et les tâches des services répressifs
5La stratégie de sécurité nationale de la Fédération de Russie et
tâches d'application de la loi
Selon la stratégie de sécurité nationale :
les principales orientations pour assurer la sécurité de l'État et du public sont :
- renforcer le rôle de l'Etat en tant que garant de la sécurité des personnes et des droits de propriété ;
- l'amélioration de la réglementation légale de la prévention de la criminalité (y compris l'information
sphère), la corruption, le terrorisme et l'extrémisme, la propagation de la drogue et la lutte contre de tels phénomènes ;
- développement de l'interaction des services de sécurité de l'État et des forces de l'ordre avec les
société, en augmentant la confiance des citoyens dans les systèmes d'application de la loi et judiciaires de la Fédération de Russie.
moyens d'assurer la sécurité :
- accroître l'efficacité des services répressifs ;
- l'amélioration du système étatique unifié de prévention de la criminalité ;
- développement et utilisation de mesures spéciales visant à réduire le niveau de criminalisation
relations publiques;
- l'élimination des causes et des conditions qui donnent lieu à la corruption, qui est un obstacle à la pérennité
développement de la Fédération de Russie et mise en œuvre des priorités nationales stratégiques;
- développement global des forces de l'ordre et des services spéciaux, renforcement des garanties sociales
leurs employés, en améliorant le soutien scientifique et technique aux forces de l'ordre,
développement du système formation professionnelle spécialistes dans le domaine de la prestation de services d'État et
la sécurité publique;
- accroître la responsabilité sociale de l'État et des organismes de sécurité publique ;
- l'amélioration de la structure et des activités des organes exécutifs fédéraux.
Problèmes de la loi fédérale de la Fédération de Russie "sur la sécurité" n ° 390-FZ
6Problèmes de la loi fédérale de la Fédération de Russie "sur
sécurité "N° 390-FZ
1. la loi devrait avoir le statut non seulement fédéral, mais fédéral
droit constitutionnel, puisque, contrairement à la loi de 1992, cette norme
la loi est basée sur des dispositions spécifiques de la Constitution de la Fédération de Russie, en plus de laquelle, dans
la loi principale contient également une indication directe (résultant de l'interdépendance
dispositions de l'art. 106 et 108 de la Constitution de la Fédération de Russie, fixant la liste des questions requises
règlement de la FKZ)
2. il y a eu une substitution du concept de "sécurité" au concept
« Sécurité nationale », sur la base de laquelle le nom implique
de cet acte juridique réglementaire pour procéder à des ajustements et
prescrire qu'il s'agit d'une loi sur la sécurité nationale
3. interprétation littérale du contenu de la partie 3 de l'art. 4 de la loi à l'examen permet
faire valoir que la politique de l'État dans ce domaine n'est mise en œuvre que sur
sur la base des statuts promulgués par le Président de la Fédération de Russie,
Par le gouvernement de la Fédération de Russie et d'autres sujets de sécurité nationale
Moyens d'améliorer le cadre législatif de la sécurité publique
7Moyens d'améliorer la législation
bases de sécurité publique
1. Afin d'éviter des interprétations contradictoires de la notion de sécurité publique, par exemple
l'établissement d'un appareil conceptuel uniforme consacré par la législation, ainsi que
afin d'optimiser le travail et l'interaction de toutes les autorités exécutives et
réglementation de certains types de sécurité publique, il est nécessaire de développer et
adopter une loi fédérale "Sur la sécurité publique dans la Fédération de Russie"
2. Il est nécessaire d'apporter certains changements et ajustements à l'existant
actuellement le cadre législatif. Tout d'abord, il convient de noter que chaque
une institution distincte de sécurité publique fonctionne sur la base de
la variété des normes spéciales de la législation fédérale et
statuts. Cela affecte directement l'efficacité.
mesures et actions appliquées et mises en œuvre
Définition de la sécurité économique
8Définition de la sécurité économique
La définition la plus aboutie de la sécurité économique, sur
notre avis, a donné I.Ya. Bogdanov. Selon lui, la conjoncture économique
la sécurité est l'état de l'économie du pays,
qui en termes de paramètres volumétriques et structurels est
suffisant pour garantir le statut existant
un état indépendant de la pression extérieure
développement politique et socio-économique, ainsi que
suffisant pour maintenir le niveau des revenus légaux,
fournissant la majorité absolue de la population
bien-être qui répond aux normes de la civilisation
des pays.
La structure du système de sécurité économique de la Fédération de Russie
9La structure de l'économie
sécurité de la Fédération de Russie
Menaces sur la sécurité économique
10Menaces sur la sécurité économique
L'évaluation critériée du niveau de sécurité économique du pays implique la prise en compte, la détermination et l'analyse des paramètres suivants
11Critères d'évaluation du niveau de sécurité économique dans
pays implique de prendre en compte, de déterminer et d'analyser les éléments suivants
paramètres
1. L'état du potentiel des ressources, dans le cadre duquel l'efficacité de l'utilisation des ressources est étudiée,
capital et travail, maintien du contrôle de l'État sur les ressources stratégiques, volume d'exportation des ressources
hors de l'État sans porter préjudice à l'économie nationale
2. L'état du potentiel scientifique et technique du pays, qui dépend du niveau de développement des instituts de recherche, de la possibilité d'introduire des développements scientifiques innovants, de la capacité
garantir l'indépendance de l'État dans les domaines stratégiquement importants du progrès scientifique et technologique
3. La stabilité du système financier de l'État, déterminée à partir des indicateurs d'inflation, de formation et
dépenses du budget de l'État, degré de protection des entités du marché, convertibilité
monnaie nationale
4. Équilibrer la politique économique extérieure tout en répondant à la demande de la population et
protection des producteurs nationaux
5. Le niveau de vie de la population (niveaux de pauvreté, de chômage, de différenciation foncière, de revenu après
Imposition)
6. La compétitivité de l'économie, qui dépend des actions stratégiques des structures étatiques sur
mise en œuvre de programmes de développement pour certaines industries et secteurs de l'économie
7. Disponibilité de mécanismes juridiques pour protéger les intérêts des sujets de l'économie nationale
Les principales composantes du mécanisme d'assurance de la sécurité économique de l'État et de ses régions
12Les principales composantes du mécanisme de provision
la sécurité économique de l'État et de ses régions
Propositions et recommandations pour optimiser la stratégie de sécurité nationale de la Fédération de Russie grâce à l'utilisation d'un système économique efficace
13Suggestions et recommandations pour l'optimisation de la stratégie
la sécurité nationale de la Fédération de Russie grâce à l'utilisation
système efficace sécurité économique de la Russie
1.dans l'acte juridique réglementaire
consolider non seulement stratégique
menaces à la sécurité nationale
RF, mais aussi contre-mesures
en définissant des processus
sous-processus, matrices
responsabilité, calendrier et
résultats attendus à chaque
étape
2.Fournir une adhésion claire
stratégies de développement par le contrôle
à chaque étape avec un accent particulier
sur la responsabilité, le calendrier et
mise en oeuvre du plan
3. à chaque itération, rapportez
les coûts avec le résultat, se concentrer sur
pour atteindre efficacement les objectifs et
efficacité de l'action
4. chaque état
organisme / service doit annuellement
rapport sur son efficacité
en corrélant les dépenses et les revenus
budget par leurs activités,
qui assurera l'abolition
services et organismes inefficaces,
unifié et
une approche standardisée de leur
Activités
5. durcir la mesure de la responsabilité
Etat officiers pour crimes et
infractions commises par eux,
qui vous permettra d'avoir confiance en leur
impartialité et travail "propre"
6. pertinence d'utilisation, et
créer un système de sauvegarde
7. susciter le désir chez les citoyens de la Fédération de Russie
suivre les intérêts du pays en
comprendre le besoin et
l'importance des actions, et
avantages pour la société
Les grandes orientations de la mise en œuvre de la stratégie de l'État pour assurer la sécurité économique au niveau régional
14Les grandes orientations pour la mise en œuvre de la stratégie de l'État
assurer la sécurité économique au niveau régional
niveau
1.
Surmonter
conséquences
crise,
réalisation
économique
devenir mince
réel
secteur
l'économie
région et ses
subordination
Tâches
socio-économique
développement
États
2.
Essentiel
Gain
financier
Sécurité
Région,
priorité
e renforcement
financier
potentiel
réel
secteurs
économie,
sujets
gouvernante
Toutes les formes
propriété
et,
ménages
3. Création
fiable
garanties
technologique
Oh
Sécurité;
renouvellement et
remplacement de l'ancien
Majeur
fonds
entreprises
et établissements
niveau
usure normale
qui
approchant
À
critique
et est
80-82 %
4. Gagner
énergie
Sécurité
Région,
la mise en oeuvre
actif
Les politiciens
économie d'énergie
et développement
propre
potentiel énergétique
ala,
diversification
je commercialise
produits et
création
conditions pour
réel
concurrence dans
sphère
source de courant
et moi
5. Résolution
Le total
complexe
problèmes de
qui
dépend
aliments
nnaya
sécurité
états dans
la totalité
6.
Éviter
expansion
de qualité inférieure
s importé
produits et
aliments
ces marchandises,
qui
peut être
produire dans
nécessaire
volumes
industrie agricole
éclairé
complexe dans
la région
7. Résolution
plus
défis urgents dans
sphère
définitions
long terme
priorités dans
sphère
écologique
e
Sécurité
et protection
l'entourage
Naturel
mercredi