1. Автоматизированное рабочее место сотрудника
Угроза | Уязвимости |
1. Физический доступ нарушителя к рабочему месту | 1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам |
2. Отсутствие системы видеонаблюдения на предприятии | |
2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации | 1. Отсутствие соглашения о неразглашении между работником и работодателем |
2. Нечеткая регламентация ответственности сотрудников предприятия | |
3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов | 1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети |
2. Конфиденциальная информация
Угроза | Уязвимости | ||
1. Физический доступ нарушителя к носителям | 1. Неорганизованность контрольно-пропускного режима в организации | ||
2. Отсутствие видеонаблюдения в организации | |||
2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны
| 1. Отсутствие соглашения о неразглашении конфиденциальной информации | ||
2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации | |||
3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации | 1. Нечеткая организация конфиденциального документооборота в организации | ||
2. Неконтролируемый доступ сотрудников к копировальной и множительной технике |
На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.
1. Угрозами доступности информации являются:
разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);
отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.
Мерами предотвращения данных угрозы может являться следующее:
§ Установка программы антивируса.
§ Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.
§ Установка аварийных источников бесперебойного питания.
§ Подвод электроэнергии не менее от двух независимых линий электропередачи.
§ Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.
2. Угрозами целостности информации являются:
нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;
|
|
потеря информации на жестких носителях;
угрозы целостности баз данных;
угрозы целостности программных механизмов работы предприятия.
Мерами предотвращения данной угрозы может являться следующее:
§ Введение и частая смена паролей.
§ Использование криптографических средств защиты информации.
3. Угрозами конфиденциальности являются:
кражи оборудования;
делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;
открытие портов;
установка нелицензионного ПО;
злоупотребления полномочиями.
Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:
1. Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет;
2. Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;
3. Внутренний отказ информационной системы, т.е. отказ программного или аппаратного обеспечения, повреждение аппаратуры;
4. Угрозы технического характера;
5. Угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях;
6. Несанкционированный доступ к информации (использование ресурсов без предварительно полученного разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации;
7. Кража программно-аппаратных средств и т.д.
Методы и средства защиты информации на предприятии
Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:
1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:
§ Гражданский кодекс РФ ст.139;
§ Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;
§ Закон Российской Федерации "Об информации, информатизации и защите информации";
§ Закон Российской Федерации "О коммерческой тайне".