Мероприятия по совершенствованию информационной безопасности на предприятии по продаже цифровой техники ИП «Салон Цифровой Техники НЕОН

ДИПЛОМНАЯ РАБОТА

 

Мероприятия по совершенствованию информационной безопасности на предприятии по продаже цифровой техники ИП «Салон Цифровой Техники НЕОН»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СОДЕРЖАНИЕ

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ ЛИТЕРАТУРЫ 

 

ВВЕДЕНИЕ

В наши дни в связи со всеобщей информатизацией и компьютеризацией  деятельности значение информационной безопасности предприятий многократно возросло.

Компьютеризация общей деятельности позволила значительно повысить производительность труда сотрудников  организации, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие технологий. В настоящее время свыше 90% всех преступлений связана с использованием автоматизированных систем обработки информации предприятий. 

Следовательно, при создании и модернизации предприятия необходимо уделять пристальное внимание обеспечению ее безопасности. Именно этой проблеме посвящена большая часть дипломной работы.

Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и  классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности  требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.

Особенно актуальна данная проблема в России. В западных фирмах  программное  обеспечение (ПО) разрабатываются конкретно  под каждое  устройство во многом является коммерческой тайной. В России получили распространение «стандартные»  пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в компьютерные системы предприятий.

В связи с вышеизложенным, в настоящей  работе основное внимание уделено именно компьютерной безопасности предприятия, т.е. безопасности автоматизированных систем обработки информации предприятия, как наиболее актуальной, сложной и насущной проблеме в сфере информационной безопасности.

Цель дипломной работы–мероприятия по совершенствованию информационной безопасности предприятия, по продаже цифровой техники. В связи с поставленной целью в работе были решены следующие задачи:

-изучить теоретические основы информационного обеспечения систем безопасности;

-проанализировать организационно-экономические  основы деятельности предприятия;

-представить современное состояние  информационно-аналитического обеспечения  систем безопасности предприятия;

-разработать методы совершенствования  системы информационно-аналитического  обеспечения безопасности предприятия.

 Объектом исследования данной дипломной работы является СЦТ «НЕОН».

Предметом исследования дипломной  работы является расчет эффективности  мероприятий по совершенствованию  системы информационной безопасности СЦТ «НЕОН».

При написании дипломной работы были использованы научные труды современных российских и зарубежных ученых, в области безопасности ИТ (Игнатьев В.А. И 266 Информационная безопасность современного коммерческого предприятия: Монография.-Старый Оскол: ООО«ТНТ», 2005.-448 с; Цирлов В.Л. Основы информационной безопасности автоматизированных систем 2008;Гапоненко В.Ф. экономическая безопасность предприятия. // ЮНИТИ, 2007 год, 508 с.).

 

 

 

1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ ПО ПРОДАЖЕ ЦИФРОВОЙ ТЕХНИКИ «НЕОН»

     1.1. Понятия и виды предприятий по продаже цифровой техники.

Конечным звеном, которое завершает процесс продвижения товаров от производителя к потребителю, является розничная торговля - деятельность субъектов товарного рынка по продаже товаров и предоставлению дополнительных услуг непосредственно населению.

В розничной торговле товары переходят  из сферы обращения в сферу  потребления, то есть становятся собственностью покупателя.

В нашем городе продажу товаров  населению в основном осуществляют предприятия розничной торговли - владельцы объектов розничной торговли (магазинов, павильонов, киосков но др.). Розничной торговлей также занимаются крупные российские сети собственных фирменных магазинов и другие пункты продажи товаров, розничные рынки и другие субъекты ведения разных форм собственности.

Розничная торговая сеть составляет основу инфраструктуры товарного рынка  и являет собой совокупность торговых и других предприятий, предпринимателей – владельцев объектов розничной  торговли.

Розничную торговую сеть классифицируют по такими признаками:

- вид и особенности здания;

- форма обслуживания покупателей;

- тип здания и особенности  его планирования.

По видами и особенностям здания розничная торговая сеть делится  на магазины, магазины-склады, павильоны, палатки, передвижные магазины и тому подобное.

Приблизительно 90% сети розничной  торговли приходится на магазины. Они  имеют помещение и оборудование, которое необходимо для выполнения разнообразных торгово-технологических  операций, обычно расположенные в  капитальных зданиях.

Магазины-склады имеют приспособленные площадки, навесы и складские помещения, а также помещения для товарных образцов и оформления продажи товаров.

Павильоны, палатки, ларьки, киоски –  это сооружения легкой конструкции, которые принадлежат к мелкорозничной торговой сети. В отличие от магазинов они предлагают узкий ассортимент товаров и меньше удобств для обслуживания покупателей.

Передвижные магазины используют при обслуживании жителей небольших населенных пунктов и работников сельского хозяйства.

По формам обслуживания различают магазины самообслуживания и магазины, которые используют традиционный метод торговли (за прилавком, по образцам, каталогам и т.п.).

По типу здания и особенностям объемно-планового  решения магазины делятся на отдельно стоячие, встроено-пристроенные и торговые комплексы, а также одноэтажные, многоэтажные, с подвальными помещениями или без них.

 

Функции магазинов

Завершая комплексный торгово-технологический  процесс товарооборота, магазины выполняют  ряд торговых (коммерческих) и технологических функций.

Основные торговые функции магазинов  следующие:

- изучение спроса населения  на товары;

- упорядочивание заявок на завоз  товаров;

- формирование ассортимента товаров;

- реклама товаров и дополнительных  услуг;

- продажа товаров.

К основным технологическим функциям магазинов относят:

- принятие товаров, которые поступили  в магазин, по количеству и  качеству;

- обеспечение хранения товаров;

- перемещение товаров внутри  магазина, размещение и раскладывание  товаров в торговом зале.

Кроме того, магазины выполняют функции, связанные с предоставлением дополнительных услуг покупателям (предварительный прием заказов на товары, доставка товаров домой и т. п.).

Объем и характер выполняемых магазином  функций зависят от его типа и  размера, хозяйственной самостоятельности, технической оснащенности, места расположения и других факторов. Например, магазин, который является юридическим лицом, кроме перечисленных функций выполняет также функции оптовой закупки товаров и расчетов за них, осуществляет управление и хозяйственное обслуживание подчиненных ему торговых единиц. Он, как правило, имеет больше возможностей для предоставления широкого круга дополнительных услуг.

 

Классификация магазинов

Рассмотрим основные разновидности  магазинов по отдельным классификационным признакам, положенным в основу современных принципов организации розничной торговой сети.

 

1. По основным контингентам покупателей  магазины разделяются на такие  группы:

- магазины, которые обслуживают городских жителей;

- магазины, которые обслуживают сельских жителей.

Стоит обратить внимание на то, что  значительную часть покупок сельские жители делают в городах, где обеспечен  более разнообразный ассортимент  товаров и созданы лучшие условия  для их приобретения.

 

2. По характеру размещения на территории населенного пункта магазины делятся на такие группы:

- магазины, которые размещены непосредственно  в жилой застройке;

- магазины, которые размещены в  местах общегородского значения.

Характер размещения магазина определяется различными факторами. Так, магазины первой группы призваны удовлетворять наиболее массовые и постоянные потребности в товарах (основные группы продовольственных товаров, хозяйственные, галантерейно-парфюмерные, другие группы непродовольственных товаров повседневного спроса).  Главным фактором при их размещении является радиус пешеходной доступности (в пределах 500 м).

Магазины второй группы призваны удовлетворять  периодические и эпизодические  потребности покупателей. Здесь  основными факторами является широта предложенного выбора и обеспечения транспортной доступности.

 

3. По формам товарной специализации  магазины делятся на такие  группы:

- универсальные;

- комбинированные;

- специализированные;

- узкоспециализированные;

- смешанные.

Универсальные магазины реализуют, как правило, все основные группы технических товаров. Они наиболее удобны покупателям, так как обеспечивают комплексное удовлетворение их спроса.

Комбинированные магазины реализуют  товары двух-трех групп, объединенных общностью (телефоны-компьютерная техника-фото техника).

Специализированные магазины реализуют, как правило, одну группу товаров (продажа  фото и аксессуаров и т.п). Это  связано с тем, что, ограничивая  свою деятельность определенным сегментом  потребительского рынка, торговое предприятие может обеспечить высокий уровень удовлетворения спроса на отдельные товары, предложить широкую номенклатуру дополнительных услуг.

Узкоспециализированные магазины реализуют товары одной товарной подгруппы, например, по продаже телефонов Vertu и т.п.

Смешанные магазины реализуют товары разных групп, не связанных между собой. В отличие от универсальных магазинов они предлагают ограниченную номенклатуру групп товаров.

 

4. По значимости товаров, которые  реализуются разными методами, магазины  делятся на такие группы:

- магазины с индивидуальным  обслуживанием покупателей;

- магазины, которые реализуют товары методом самообслуживания;

магазины, которые реализуют товары по образцам и каталогам.

 

5. По ценовым уровням реализованных  товаров магазины делятся на  такие группы:

- элитные магазины с самым  высоким уровнем цен;

- магазины со средним уровнем  цен;

- магазины с низким уровнем  цен.

Эта относительно новая для нашей  практики система классификации  является результатом углубления дифференциации доходов населения после перехода к рыночной экономике.

 

6. По размерами торговой площади  магазины делятся на такие  группы: малые, средние, большие,  очень большие.

К малым магазинам в городах  относят магазины с торговой площадью до 250 кв. м, в сельской местности  – до 100 кв. м.

К средним магазинам в городах  относят магазины с торговой площадью 251-1000 кв. м, в сельской местности  – 101-400 кв. м. Такие магазины размещаются  в приспособленных помещениях или  в специально построенных зданиях. На такой торговой площади могут быть организованы универсальные продовольственные, комбинированные, специализированные и узкоспециализированные магазины.

К большим магазинам в городах  относят магазины с торговой площадью 1001-3500 кв. м, в сельской местности  – 401-1000 кв. м. Такая торговая площадь дает возможность создавать магазины комплексного спроса и универсальные магазины.

К очень большим магазинам в  городах относят магазины с торговой площадью свыше 3500 кв. м, в сельской местности – свыше 1000 кв. м.  Это, как правило, непродовольственные магазины.

 

7. По категориям магазины делятся  на "люкс", "высшая", "первая", "вторая", "без категории". Присвоение категории осуществляется  местными государственными администрациями  путем аттестации объектов розничной  торговли на основе комплекса показателей, которые характеризуют:

- местонахождение здания и состояние  прилегающей территории;

- вид, тип и особенности здания;

- комфортность, техническую оснащенность, внутренний и внешний дизайн  помещений;

- логичность и функциональную  организацию торгового процесса;

- методы обслуживания;

- квалификацию персонала;

- качество обслуживания.

 

Вкратце о изложенном

Розничная торговля цифровой техникой представляет собой производственную деятельность по продаже товаров  или услуг конечному потребителю для их личного некоммерческого использования.

Функции розничной торговли:

- за счет большого числа предприятий  розничной торговли происходит  удовлетворение потребности конечного  покупателя по месту его жительства  или работы. При этом, большие объемы поставок от поставщика делятся на мелкие порции товара, соответствующие желаниям и потребностям конечного покупателя;

- через розничную торговлю производитель  получает информацию о спросе  на товар, являясь наиболее  чувствительным индикатором регулирования объемов производства;

- через розничную торговлю происходит  освоение новых рынков и осуществляется  продвижение новых товаров;

- розничная торговля выполняет  рекламные функции товара производителя.

     1.2. Понятие информационной безопасности и методы защиты

Информационная безопасность АС рассматривается как состояние системы, при котором:

1. Система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз. 

2. Функционирование и сам факт наличия системы не создают угроз для внешней среды и для элементов самой системы.

Деятельность, направленную на обеспечение информационной  безопасности, принято называть защитой информации.

Информационная безопасность это комплекс мер по обеспечению безопасности информационных активов предприятия. Самое главное в этом определении это то, что информационную безопасность можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему информационной безопасности в целом [1, с. 37].

Среди целей информационной безопасности (ИБ) главными можно выделить следующие:

Конфиденциальность–обеспечение  информацией только тех людей, которые  уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.

Целостность–поддержание целостности  ценной и секретной информации означает, что она защищена от неправомочной  модификации. Существуют множество  типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

Доступность–обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

В настоящее время большинство  организаций регулярно терпят убытки, связанные с нарушением информационной безопасности, не способны оценить  ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками ИБ. Убытки от нарушений ИБ могут выражаться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п [2, с. 55].

 В обозримом будущем у  российских предприятий появится  стремление не только выстроить  комплексную систему защиты, но  и обеспечить более широкий  выбор конкретных программных  средств защиты. В ближайшие два-три  года российские предприятия вызовут большой интерес всех крупнейших разработчиков систем. Основные угрозы ИБ приведены на рисунке 1.1. [6, с. 44].

По оценкам экспертов в области  компьютерной безопасности, до 80% всех компьютерных преступлений совершено  работающими или уволенными сотрудниками. Причин можно назвать много, самая распространенная из них - неудовлетворенность работника статусом или зарплатой. Наиболее опасным является увольнение сотрудников, обладающих большими полномочиями и имеющих доступ к широкому спектру информации. Например, огромный ущерб может нанести сотрудник отдела информационных технологий, а тем более администратор сети (баз данных), инженер по безопасности. Им могут быть известны пароли к большинству используемых систем. Атаки, исходящие от такого экс-сотрудника, весьма сложно обнаружить, ведь ему известны все применяемые защитные механизмы. Но больше всего убытков может причинить неграмотность и халатность сотрудников.

Половина паролей, придуманных  рядовыми служащими, состоят из цифр даты рождения и имени дочери или сына (например, Natasha 1984). Подобрать такие пароли не составит труда. Назначение системным администратором пароля из трудно запоминаемой комбинации букв и цифр может усугубить ситуацию. Опасаясь забыть пароль, сотрудники записывают его на обратной стороне клавиатуры, либо приклеивают бумажку к монитору, либо ставят галочку «запомнить пароль», чтобы не набирать его заново. В результате доступ к компьютеру и корпоративной сети может получить каждый желающий.

Специалисты считают, что беспечность менеджеров и персонала связана с отсутствием информации о подобных атаках: большинство пострадавших не предают такие инциденты огласке. Негативно сказывается также низкий уровень корпоративной дисциплины и поверхностное обучение пользователей правилам защиты информации. Кроме того, до сих пор данная проблема освещалась довольно слабо. В лучшем случае о ней говорили как о второстепенной на фоне внешних угроз [7, с. 52].

 В последние годы проблемы  информационной безопасности все  более явно проявляют свой  системный характер и практически являются неотъемлемой частью проблем любого бизнеса. В этом отношении представляет интерес точка зрения Международной организации по экономическому сотрудничеству и развитию (ОЭСР), которая рассматривает сущность информационной безопасности бизнеса как состояние защищенности интересов или целей собственника в информационной сфере и в своих директивах «Содействие бизнесу» отмечает, что это понятие неразрывно связано с эффектом доверия, который порождают три основных фактора:

-прозрачность для руководителя (собственника, бизнесмена) подконтрольных  ему процессов;

-уверенность в эффективности  системы безопасности;

-понимание того, что выделенное финансирование является оптимальным.

Рисунок 1.1. Основные угрозы ИБ

 

Международная практика показывает, что решение проблем защиты информации в условиях современного бизнеса во многом зависит от того, на каком из трех уровней в плане организации деятельности службы информационной безопасности находится компания: мнимом, реальном или управляемом.

Мнимый, или кажущийся, уровень  возникает, когда после проведения первичных мероприятий по информационной безопасности не проводятся их мониторинг и соответствующая корректировка. При таком подходе через один-два  года уровень безопасности по различным причинам объективно начинает фактически снижаться до некоторого минимального значения, чем сразу же могут воспользоваться злоумышленники. Реальный уровень отражает картину текущего состояния. Управляемый, или требуемый, уровень, который можно еще назвать состоянием защищенности объекта, достигается только соответствием стандартам менеджмента информационной безопасности.

Появились такие стандарты в  Великобритании в конце прошлого тысячелетия. Первая версия британского  стандарта BS 7799 «Менеджмент информационной безопасности. Практические правила» была опубликована в 1995 г. Он создан как единый стандарт управления программными и сетевыми ресурсами, а также контроля над качеством предоставляемых услуг в компаниях, использующих информационные системы, и явился обобщением мирового опыта в организации систем информационной безопасности. Согласно этому стандарту целью информационной безопасности является обеспечение бесперебойной работы компании, а также по возможности предотвращение и/или минимизация ущерба от нарушений безопасности. Популярность стандарта обусловлена его гибкостью, так как он представляет собой набор рекомендаций по применению лучших практик обеспечения безопасности, подходящий любому типу компании независимо от ее размера и направления деятельности, и был предназначен для использования в качестве справочного документа как для руководителей, так и для рядовых сотрудников, отвечающих за планирование, реализацию и использование системы информационной безопасности [3, с. 78].

Данный стандарт со временем дорабатывался и регулярно пересматривался. В настоящее время он включает три составные части:

BS 7799-1:2005 «Практические правила  управления информационной безопасностью»  (Information security management. Code of practice for information security management);

BS 7799-2:2005 «Требования к системам  управления информационной безопасностью»  (Information security management. Specification for information security management systems);

BS 7799-3:2006 «Руководство по управлению рисками информационной безопасности» (Information security management systems. Guidelines for information security risk management).

Вторая версия стандарта BS 7799-1, опубликованная со множеством поправок и улучшений  в 1999 г., была заимствована Международной  организацией по стандартизации ISO и в декабре 2000 г. опубликована в качестве стандарта ISO 17799 «Кодекс установившейся практики для менеджмента информационной безопасности». Этот стандарт был пересмотрен в 2005 г. и введен в действие в России в качестве национального стандарта ГОСТ Р ИСО 17799 с 1 января 2007 г.

Первая версия BS 7799-2, опубликованная в 2002 г., разрабатывалась для применения при внедрении интегрированных  комплексных систем управления и  была приведена в соответствие с  такими стандартами, как ISO 9001:2000 «Системы менеджмента качества» и ISO 14001:1998 «Системы управления окружающей средой». Вторая часть британского стандарта регламентирует процессы создания системы менеджмента информационной безопасности в условиях современного бизнеса. Переработанная в 2005 г., она положила начало новой серии международных стандартов по информационной безопасности 27000 и, опубликованная от имени ISO, получила название ISO 27001:2005 «Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»; в России в качестве национального стандарта ГОСТ Р ИСО 27001 введена в действие с 1 февраля 2008 г. Стандарт ISO/IEC 17799-2005 в 2007 г. был еще раз пересмотрен и получил обозначение ISO 27002:2007.

Третья часть британского стандарта BS 7799-3:2006 «Руководство по управлению рисками информационной безопасности» проектируется в качестве стандарта ISO 27005. Этот стандарт гармонизирован с ISO 27002:2007 (основанном на BS 7799-2:2005) относительно примеров по компонентам системы защиты и с ISO серии 9000 по требованиям к документам. Внедрение в бизнес-практику уже введенных в действие в России стандартов ГОСТ Р ИСО 17799 и ГОСТ Р ИСО 27001 подразумевает наличие в компании как минимум двух документов: политики информационной безопасности и методологии оценки ее рисков [2, с. 8].

Для решения проблем защиты информации в современных условиях внедрение  стандартов менеджмента информационной безопасности дает компаниям ряд  дополнительных прямых и косвенных  преимуществ. В качестве прямых преимуществ можно назвать существенное улучшение качества информации для принятия решений, а также сведение до минимума потерь, связанных с нарушением ее конфиденциальности, целостности и доступности. Косвенными преимуществами могут быть международное признание компании и рост доверия партнеров по бизнесу, а также возможность получения различных кредитов.

Методы обеспечения информационной безопасности (рис. 1.2.) весьма разнообразны.

 

Рис. 1.2. Основные методы обеспечения информационной безопасности

 

Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях.

Инженерно–технические методы ставят своей целью обеспечение  защиты информации от утечки по техническим  каналам – например, за счёт перехвата электромагнитного излучения или речевой информации.

Правовые и организационные  методы защиты информации создают нормативную  базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности.

Теоретические методы обеспечения  информационной безопасности, в  свою очередь, решают две основных задачи. Первая из них–это формализация разного  рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе–а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача–строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.

При построении систем защиты от угроз нарушения конфиденциальности информации в автоматизированных системах используется комплексный подход. Схема традиционно выстраиваемой эшелонированной защиты приведена на рис. 1.3.

Как видно из приведённой  схемы, первичная защита осуществляется за счёт реализуемых организационных мер и механизмов контроля физического доступа к АС. В дальнейшем, на этапе контроля логического доступа, защита осуществляется с использованием различных сервисов сетевой безопасности. Во всех случаях параллельно должен быть развёрнут комплекс инженерно-технических средств защиты информации, перекрывающих возможность утечки по техническим каналам.

 

Рис. 1.3. Структура системы защиты от угроз нарушения конфиденциальности информации

 

Организационные меры и меры обеспечения физическои безопасности

Данные механизмы в  общем случае предусматривают:

-развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.