Основные сведения об организации
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также промокод на новый заказ в Автор24. Это бесплатно.
В рамках исследования курсовой работы для описания модели поведения инсайдера и методов противодействия утечке информации необходимо рассмотреть типовую коммерческую организацию на примере ООО «Байкал».
Предприятие ООО «Байкал» состоит из центрального офиса в г. Москва и десяти филиалов, расположенных в городах России. В центральном офисе 100 сотрудников, среднее количество сотрудников в филиале – 20. Также в компании вне офисов удаленно работают около 150 удаленных сотрудников.
Для выполнения своих задач сотрудники используют следующие прикладные системы:
- автоматизированное рабочее место (далее – АРМ) удаленного сотрудника (клиент-серверное приложение, клиент функционирует под управлением операционной системы семейства Windows, СУБД Microsoft SQL Server 2016);
- АРМ сотрудника филиала (клиент-серверное приложение, клиент функционирует под управлением операционной системы семейства Windows, система управления базами данных (далее –СУБД) Oracle Database 11g);
- ПО бухгалтерского учета на базе 1С Бухгалтерии (только сотрудники бухгалтерии центрального офиса).
Инфраструктура типового предприятия выполнена с учетом соблюдения следующих условий:
серверы баз данных разнесены по службам, которые на них запущены;
каждый сервер находится в своей подсети (VLAN);
каждый сервер физически оснащен системой копирования информации с определенным отставанием (например, полдня);
установлен сертифицированный ФСТЭК межсетевой экран, настроены листы контроля доступа;
обеспечено резервное электропитание серверов дизель-генератором и источниками бесперебойного питания;
на конечных терминалах используются средства криптографической защиты;
серверные части приложений разнесены по службам, к этим серверам доступ с единой точки входа - терминального сервера;
обязательная авторизация при входе в СУБД;
реализован принцип того, что АРМ сначала авторизуется на сервере, а уже сервер работает с базами данных (далее – БД). Никакие прямые запросы к БД от АРМ не поступают;
для подключения удаленных агентов, в случае если решения с терминальными серверами не подходят, реализованы отдельные учетные записи VPN для подключения по безопасному каналу в отдельную подсеть центрального офиса.
Частный случай – это объект критической информационной инфраструктуры. Типовое предприятие может быть подобным объектом. Для подобных объектов существует перечень актуальных угроз обеспечения информационной безопасности по классификации ФСТЭК.
В рамках построения модели поведения инсайдера должны быть разработаны рекомендации, при помощи которых будет повышена эффективность защиты конфиденциальной информации на предприятии ООО «Байкал».
Для того чтобы определить, каким образом функционирует данное предприятие, необходимо провести анализ организационной и функциональной структуры. Бизнес – процессы, охватывающие предприятие, крайне важны для описания данной организации, как объекта защиты информации[2].
В таблице 1 проведен анализ подразделений и лиц, обладающих возможностью безприпятственного доступа к конфиденциальной информации на предприятии. Из описания можно сделать выводы и о функциональной структуре данного предприятия.
Таблица 1 – Должностные лица и подразделения, имеющие доступ к конфиденциальной информации ООО «Байкал»
№ Название подразделения Функционал подразделения Количество сотрудников в подразделении Допуск к КИ
1 Дирекция и секретариат Осуществление руководства компанией и отраслями. 17 человек: генеральный директор компании, первый заместитель генерального директора компании, заместитель генерального директора – главный инженер, заместитель генерального директора – главный технолог, заместитель генерального директора, 12 секретарей Все лица имеют доступ к любой конфи-денциальной информации предприятия.
2 Научно – исследова-тельский сектор Научно – исследователь-ская работа, связанная с проблемами производ-ственного, конструкторско – технологи-ческого и иного характеров 5 человек: начальник сектора, 5 сотрудников Все лица имеют доступ к конфи-денциальной информации предприятия, касаю-щейся произ-
водства передовой разработки.
3 Отдел телекоммуникаций и информаци-онной безопасности Эксплуатации телекомму-никационного оборудования, настройка станков с ЧПУ, администрирование серверов и оконечных устройств ЛВС 36 человек (начальник отдела, заместитель начальника отдела – главный программист,
6 ведущих программистов,
12 программистов,
6 инженеров,
4 системных администратора,
2 техника,
4 ведущих специалиста)
Все лица имеют доступ к любой конфи-денциальной информации предприятия.
В результате данного анализа необходимо представить в дополнение лишь взаимосвязь подразделений и подчиненность
Зарегистрируйся, чтобы продолжить изучение работы
. Направление стрелки указывает на подчиненность, от руководителя к подчиненным. Серым цветом помечены подразделения, в которых циркулирует защищаемая информация, содержащая в себе такие сведения конфиденциального характера, как коммерческая тайна. Вышеизложенные данные приведены на рисунке 1.
В результате проведения данного анализа можно сделать вывод, что на предприятии циркулирует информация, составляющая сведения, содержащие коммерческую тайну, а именно – затрагивающая раскрытие передовой разработки.
Рисунок 1 – Описание бизнес процессов взаимосвязи и подчиненности
1.2 Анализ информации, циркулирующей на предприятии ООО «Байкал»
Как и в любой организации, на исследуемом предприятии циркулирует информация различного рода. Часть из нее – это информация, не подлежащая разглашению, например, персональные данные, другая часть просто необходима к возможно большему разглашению, это информация, связанная с рекламой. Но существует информация, которая не разглашается. Необходимо детально проанализировать информацию, циркулирующую на предприятии, и выделить информацию, по отношению к которой стоит применять меры по ее защите. В рамках разработки модели поведения инсайдера необходимо сначала определить, какие существуют носители информации на данном предприятии, они представлены ниже:
1. Персонал. С точки зрения информационной безопасности самый опасный носитель информации, не подлежащей разглашению, это человек. В случае ознакомления с конфиденциальной информацией сотрудник легко может запомнить ключевые моменты и при необходимости придать им гласность.
2. Бумажные носители. Носители информации такого типа нашли широкое применение на предприятии, так как в бумажном виде происходит хранение и обработка отчетной документации, написание заявлений и выпуск большого количества других документов. Также на предприятии существует ряд документов на бумажных носителях, содержащих в своем составе информацию ограниченного распространения [2].
3. Информация, представленная в электронном виде. Как и на любом другом предприятии, в ООО «Байкал» реализована процедура хранения и обработки информации с использованием средств вычислительной техники и телекоммуникационной среды. Среди информации, представленной в электронном виде, есть информация ограниченного распространения.
4. Речевая информация. Необходимо помнить, что в течение рабочего дня на предприятии сотрудники обсуждают множество вопросов различного характера. В процессе обсуждения может возникнуть необходимость затронуть ряд моментов, связанных с информацией ограниченного распространения.
Следующим шагом при проведении анализа является определение принадлежности конфиденциальной информации к тому или иному сегменту деятельности предприятия. Можно сказать, что конфиденциальная информация бывает следующих видов:
1. Информация, касающаяся стратегии развития предприятия. К данной информации относится планирование деятельности предприятия.
2. Информация, касающаяся новшеств, применяющихся на предприятии. Данная информация крайне важна, так как на ее основе осуществляется производство собственных разработок и применение уникальных технологий.
3. Информация, отражающая финансово – экономическую деятельность предприятия. Данная информация может содержать сведения конфиденциального характера.
4. Информация, которая содержит в себе сведения о персональных данных. Текущее законодательство регламентирует, что данная информация должна быть надежно защищена.
Стоит отметить, что при разглашении информации, подлежащей защите и циркулирующей на предприятии, несомненно, будет нанесен урон деятельности предприятия в целом либо его конкретному участку. С этой целью нужно отталкиваться при разработке рекомендаций по повышению эффективности защиты конфиденциальной информации на данные, полученные в результате анализа [3].
С целью выявления информации подлежащей защите, необходимо произвести анализ информационной структуры и потоков информации.
В данной работе не будут рассматриваться вопросы, касающиеся информации, хранящейся на бумажных носителях или электронной информации, хранящейся на физических носителях при отключенном электропитании от носителя, так как утечка такой информации возможна только при несоблюдении режимных мер. Для удобства восприятия эта информация представлена в таблице 2.
Таблица 2 – Информационная структура и потоки информации ООО «Байкал»
№ п/п Название Описание Примечание
1 Акустическая информация Циркулирует в помещениях, определенных для обработки информации конфиденциального характера Информация, которая содержит конфиденциальные сведения
2 Информация, циркулирующая в корпоративной сети Циркулирует на предприятии в местах узлов сети Сведения конфиденциального характера в корпоративной сети не циркулируют в соответствии с приказом руководства
3 Информация, хранящаяся и обрабатывающаяся на объектах ЭВТ Циркулирует на предприятии в местах установки объектов ЭВТ, определенных для обработки информации конфиденциального характера Содержит сведения конфиденциального характера в зависимости от разрешения руководства на обработку информации такого характера на объекте ЭВТ
4 Информация, отображающаяся на экранах мониторов, видеопанелей и мультимедийных экранов Циркулирует на предприятии в местах установки объектов ЭВТ и мультимедийных проекторов, определенных для обработки сведений конфиденциального характера Содержит сведения конфиденциального характера в зависимости от разрешения руководства на обработку информации такого характера на объекте ЭВТ и мультимедийном проекторе
На основании анализа информационной структуры можно сделать вывод, что конфиденциальной может быть информация, отображающаяся на мониторах и мультимедийных экранах, хранящаяся и обрабатывающаяся на объектах ЭВТ, а также акустическая информация, циркулирующая в помещениях
50% курсовой работы недоступно для прочтения
Закажи написание курсовой работы по выбранной теме всего за пару кликов. Персональная работа в кратчайшее время!