- •Содержание
- •Введение
- •Глава I. Принцип организации защиты данных коммерческого предприятия
- •1.1 Определение состава потенциальных существующих угроз в организации.
- •1.2. Методы и средства защиты информации, применяемых на предприятии.
- •1.3 Технические средства и способы защиты.
- •1.4. Основные каналы утечки информации
- •1.5 Обеспечение безопасности внутренних и внешних конструкций и сооружений
- •1.6 Системы контроля и управления доступом
- •Принцип работы Системы (скуд)
- •Глава II. Разработка концепции инженерно-технической защиты
- •2.1. Общая характеристика оао «Магнит»
- •2.2. Способы инженерно-технической защиты
- •2.3 Методы и средства защиты информации
- •2.4 Построение Модели защиты в оао «Магнит»
- •Выбор камер видеонаблюдения
- •Экономическое обоснование
- •Заключение
Глава I. Принцип организации защиты данных коммерческого предприятия
1.1 Определение состава потенциальных существующих угроз в организации.
Защита информационных ресурсов (данных) компании от утечек – важнейшая задача мероприятий по информационной безопасности. При любом виде деятельности у каждой компании есть определённый набор сведений, которые являются основой существования фирмы. Эти сведения и обслуживающий их документооборот являются коммерческой тайной компании, и, разумеется, требуют защиты от утечек и разглашения. Угрозы утечки данных разделяют на два направления: внешние (опасных ПО, хакерские атаки и т.д.) и внутренние угрозы (инсайдеры).
Угрозы являются следствием ситуаций, в которых проявляются слабые стороны компании. Чтобы выявить все угрозы, необходимо внимательно изучить результаты бизнес-анализа, обнаружив отдельный фактор или целый набор факторов, способных породить потенциально негативную ситуацию, можно достаточно точно описать угрозу, на которую следует обратить внимание.
Безопасностью информационных ресурсов (информации) понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, пассивных и активных событий злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных
Рассмотрим коротко основные виды угроз:
Стихийные бедствия. Ни одно предприятие на сегодняшний день не застраховано от этой напасти, особенно это касается объектов, размещенных в зонах с определенными климатическими особенностями: горная местность, места с сильной грозовой активностью, места с сильной ветровой активностью и т.п. Данное направление должно анализироваться при активном взаимодействии с метеослужбами, и на основании анализа должна строиться концепция защиты предприятия.
Техногенные аварии. Техногенные аварии представляют собой происшествия, возникающие на технических объектах, созданных человеком. Этот тип угроз является вторым по важности при разработке концепции обеспечения безопасности в силу того, что возможность возникновения техногенных аварий более-менее предсказуема. К примеру, нетрудно предсказать развитие ситуации при расположении предприятия вблизи АЭС или крупной нефтеперерабатывающей компании. А если более приблизиться к практике, то неблагоприятно будет и размещение вблизи крупных объектов, связанных с переработкой, связанных с расположением на них больших запасов ГСМ, неподалеку от высоковольтных линий электропередач и т.п. А если все указанные компоненты соседствуют рядом с предприятием, то стоит подумать и о мере защиты от последствий ЧП на них. При этом важно учитывать ВСЕ возможные и невозможные варианты развития событий. ..
Безопасность ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу. Опасность несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.
Секретность – правила и условие доступа и допуска к объектам информации.
Таким образом, словосочетание «информационная безопасность» не сводится исключительно к защите от несанкционированного доступа к информации.
Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.
Конфиденциальность – правила и условия сохранности передачи данных и информации. Различают конфиденциальность внешнюю – как условие неразглашения информации во внешнюю среду, и внутреннюю – среди персонала.
Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.
Конфиденциальность отражает ограничение, которое накладывает собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом.