Назначение и структура системы защиты информации коммерческого предприятия «ООО Ревитех-Инвест»

Содержание:

Введение

Период реформ в России привел к радикальным изменениям во всех сферах жизни общества. Организации остро ощущают потребность в специалистах, обладающих обширными и глубокими познаниями в области управления трудовыми ресурсами.

Современные условия предъявляют новые требования к менеджерам и бизнесменам, вызывая более высокую напряженность их труда, умение ценить время, необходимость владеть комплексом организационных и психологических качеств, привносить элемент творчества в работу.

Едва ли не самое простое в теории и сложное на практике – формирование информационной политики организации. Формирование информационной политики организации происходит не само по себе, а для решения конкретных задач конкретной организации в изменчивом мире. Актуальность выбранной темы объясняется тем, что эффективное управление трудовыми ресурсами является важнейшим этапом на пути к повышению производительности труда, что имеет большое значение для увеличения объемов продукции и повышения эффективности производства. Всё в конечном итоге зависит от людей, от их квалификации, умения и желания работать. Именно человеческий капитал, а не заводы, оборудование и производственные запасы являются краеугольным камнем конкурентоспособности и экономического роста организации.

В современной России достаточно часто сетуют на неритмичность заказов, непредсказуемость рынка, обосновывая этим невозможность планировать персонал. Тот минимум, который необходим для формирования информационной политики организации, – это определиться, как изменятся наши задачи количественно и качественно: планируем ли мы увеличить объем производства (продаж, выполняемых проектов, обслуживаемых клиентов и т. п.), появятся ли новые технологии, будут ли изменены существующие процедуры, появятся ли новые виды деятельности, планируется ли открытие филиалов. На мой взгляд, грамотный руководитель в состоянии ответить на эти вопросы. Упомянутые проблемы актуализируют изучение защиты информации в деятельности коммерческого предприятия.

Цель работы – исследовать проблемы защиты информации в деятельности коммерческого предприятия на примере ООО «Ревитех-Инвест». В качестве задач можно отметить следующее:

1. Исследовать теоретические аспекты реализации защиты информации в базе данных автоматизированной системы управления коммерческим предприятиям;

2. Охарактеризовать информационную безопасность учреждения;

3. Выявить направления совершенствования информационной безопасности на примере ООО «Ревитех-Инвест».

Объект исследования: информационная безопасность.

Предмет исследования: проблемы защиты информации в деятельности коммерческого предприятия на примере ООО «Ревитех-Инвест».

Методы исследования: изучение и анализ научной литературы, моделирование, сравнение, анализ, интервьюирование, табличный анализ, расчет коэффициентов, построение диаграмм.

Практическая значимость работы объясняется тем, что в настоящее время защита информации в базе данных автоматизированной системы управления предприятием крайне актуальна для предприятия и разработка такой системы защиты может эффективно сохранить конфиденциальную информацию.

Работа состоит из введения, трех глав: теоретической, аналитически-практической и проектной, заключения, списка используемой литературы и приложений.

Глава 1. Теоретические аспекты защиты информации в организации

1.1 Понятие информации, и ее значение в деятельности различных субъектов

Термин «информация» происходит от латинского слова «informatio», что означает сведения, разъяснения, изложение. Несмотря на широкое распространение этого термина, понятие информации является одним из самых дискуссионных в науке.

Информация играет огромную, ведущую роль в жизнедеятельности каждого предприятия и организации. Для любого субъекта информационных отношений наиболее важны и ценны те сведения, которыми владеют или пользуются только они и никто больше^[1].

Принимая во внимание особую и, возможно, вечную актуальность темы поиска и сохранения информации, государство должно установить для всех «правила игры» в этой области, гарантирующие права субъектов информационных отношений и устанавливая определенные обязанности, Особые ограничения и санкции, то есть, чтобы полностью регулировать все, система обращения информации, особенно та, которой юридические лица имеют или хотят иметь преимущества в использовании, является конфиденциальной.

Первое в России юридическое определение понятия «информация» дано в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации», в ст. 2 из которых заявили, что информация является информацией о лицах, объектах, фактах, событиях, событиях и процессах, независимо от формы их представления.

В соответствии со статьей 2 Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ (с изменениями от 6 апреля 2011 г.) «Об информации, информационных технологиях и защите информации» информация - это информация (сообщения, данные ) независимо от формы их представления.

Законодатель установил, что информация может быть предметом общественных, гражданских и иных правоотношений. Информация может свободно использоваться любым лицом и передаваться от одного лица другому, если федеральные законы не устанавливают ограничения доступа к информации или иные требования в отношении порядка ее предоставления или распространения (статья 5 Федерального закона № 149-ФЗ)^[2].

Информация имеет ряд особенностей:

- она нематериальна;

- информация хранится и передается с помощью материальных носителей;

- любой материальный объект содержит информацию о самом себе или о другом объекте^[3].

Нематериальность информации понимается в том смысле, что невозможно измерить ее параметры известными физическими методами и устройствами.

Информация не имеет массы, энергии и т.д. Информация хранится и передается на материальные носители. Такими носителями являются человеческий мозг, звуковые и электромагнитные волны, бумага, машинные носители (магнитные и оптические диски, магнитные ленты и барабаны) и т.д.

Информация имеет следующие свойства:

1. Информация доступна человеку, если она содержится на материальном носителе. Следовательно, необходимо защищать материальные носители, так как с помощью материальных средств могут быть защищены только материальные объекты.

2. Информация имеет ценность. Ценность информации определяется степенью ее полезности для владельца. Обладание достоверной (достоверной) информацией дает ее владельцу определенные преимущества. Истинная или достоверная информация - это информация, которая с достаточной точностью для владельца отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.

3. Информация, искажающая действительность (неточная информация) может нанести владельцу значительный материальный и моральный ущерб. Если информация намеренно искажена, то это называется дезинформацией.

Критерии содержания документа включают в себя важность информации о документе, его уникальность, типичность документа. Документы, отражающие основную деятельность организации в целом и ее структурных подразделений (вопросы организации труда, планирования и отчетности, основные виды деятельности, контроль и т.д.), Имеют наибольшее значение среди документов, создаваемых в деятельности организации. Другая группа документов носит вспомогательный характер, большая ее часть состоит из первичных учетных документов, документов по снабжению организации, бытовых и административных вопросов.

1.2 Основные источники правового регулирования конфиденциальной информации

В предыдущих разделах были упомянуты некоторые источники, регулирующие правовые режимы конфиденциальной информации. Остановимся на этой теме более подробно.

Обеспечение защиты конфиденциальной информации складывается из следующих составляющих:

1. Нормативные правовые акты РФ.

2. Нормативно-методические и методические документы.

3. Стандарты^[4].

В Российской Федерации нормативные акты в области информационной безопасности включают в себя:

Федеральное законодательство;

Международные договоры Российской Федерации;

Конституция Российской Федерации;

Федеральные законы (в том числе федеральные конституционные законы, кодексы);

Указы Президента Российской Федерации;

Постановления Правительства Российской Федерации;

Нормативные правовые акты федеральных министерств и ведомств;

Нормативные правовые акты субъектов Российской Федерации, органов местного самоуправления и др.

Вот некоторые примеры:

Основными направлениями правового регулирования информационных отношений являются конституционное и гражданское право. Как продолжение свободы мысли и слова, которая закреплена в ч. 1 ст. 29 Конституции Российской Федерации, ч. 4 ст. 29 Конституции Российской Федерации закреплено право каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется соответствующим федеральным законом. Это право соответствует общему обязательству коммерческого предприятия и местного самоуправления, имеющего такую ​​информацию, предоставлять ее по запросу. Возможные исключения из этого общего правила должны обязательно принимать форму федерального закона (часть 3 статьи 55 Конституции Российской Федерации). Изобразительное искусство. 42 Конституции Российской Федерации говорит о праве каждого человека на достоверную информацию о состоянии окружающей среды. Изобразительное искусство. 19 Основ законодательства Российской Федерации «Об основах охраны здоровья граждан Российской Федерации» конкретизирует это учреждение, обеспечив особый механизм реализации прав граждан на информацию о факторах, влияющих на их здоровье (пункт 5 пункта 5). 7, статья 19).

Закон Российской Федерации от 5 марта 1992 г. № 2446-1 «О безопасности» (изд. От 26.06.2008 г.) - этот закон предназначен для защиты интересов личности, общества и государства от возможных внешних и внутренних угрозы, посягающие на права, свободу, материальные и духовные интересы. Информационная безопасность - это защита любой информации, и, прежде всего, конфиденциальной.

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации» - целью закона является обеспечение защиты информации, регулирование отношений при осуществлении права на поиск, получение Передавать, производить и распространять информацию при применении информационных технологий, а также при обеспечении защиты информации, за исключением отношений в области защиты результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Качество современного уровня правового регулирования отношений в отношении информации во многом определяется степенью, в которой законодатель учитывает эти характеристики (свойства)^[5].

Конфиденциальная информация определена в п. 7 ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ посредством требования не передавать такую ​​информацию третьим лицам без согласия ее владельца. На мой взгляд, это определение не идеально. Вряд ли можно снова согласиться с определением конфиденциальной информации с помощью информации с ограниченным доступом, которая не содержит государственных секретов, во-первых, потому что такое определение находится в порочном круге: вы не можете определить что-то подобное; Во-вторых, государственные секреты также являются конфиденциальной информацией. Поэтому, на мой взгляд, более правильно понимать конфиденциальную информацию как информацию, полученную на законных основаниях, которая в силу закона или другого акта, имеющего юридическое значение, доступна строго определенному кругу лиц и в отношении которых действует режим определенная степень секретности установлена.

Пункт 3 статьи 5 Федерального закона № 149-ФЗ об информации содержит классификацию информации в зависимости от порядка ее предоставления или распространения. Итак, на этом основании информация подразделяется:

1) об информации, свободно распространяемой, например, через средства массовой информации;

2) информация, предоставленная по соглашению лиц, участвующих в соответствующих отношениях;

3) информация, подлежащая предоставлению или распространению в соответствии с федеральными законами;

4) информация, которая ограничена или запрещена в Российской Федерации. Например, информация, составляющая коммерческую или государственную тайну.

Раздел 2 данной статьи предусматривает разделение информации в зависимости от категории доступа к ней. По этой причине информация может быть общедоступной; ограниченный доступ.

Федеральный закон № 152-ФЗ от 27 июля 2006 г. «О персональных данных» регулирует отношения, связанные с обработкой персональных данных федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления. которые не входят в систему органов местного самоуправления муниципальных органов, юридических и физических лиц с использованием средств автоматизации или без их использования, если обработка персональных данных без использования таких средств соответствует характеру действий (операций) выполняется с использованием персональных данных с использованием автоматизированных инструментов^[6].

1 января 2008 года вступила в силу часть четвертая Гражданского кодекса Российской Федерации, регулирующая отношения по результатам интеллектуальной деятельности. Введено понятие «секретное производство» (ст. 1465 ГК РФ: секрет производства (ноу-хау) заключается в информации любого характера (технической, производственной, экономической, организационной и т.д.), В том числе результаты интеллектуальной деятельности в научно-технической сфере, а также информация о способах осуществления профессиональной деятельности, которые имеют реальную или потенциальную коммерческую ценность в силу их неизвестности третьим лицам, к которым третьи лица не имеют свободного доступа, юридически и в отношении данных, на которые владелец такой информации ввел режим коммерческой тайны) и «официальных секретов производства» (статья 1470 Гражданского кодекса Российской Федерации: исключительное право на секрет производства, созданный работником в связи с выполнением своих должностных обязанностей или конкретной задачей работодатель (официальный секрет производства) принадлежит работодателю гражданину, который в связи с выполнением при выполнении своих служебных обязанностей или конкретной задаче работодатель, узнавший о секрете производства, обязан сохранять конфиденциальность полученной информации до исключения из исключительного права на коммерческую тайну).

Федеральные законы «О коммерческой тайне», «Об информации, информационных технологиях и о защите информации» и часть 4 Гражданского кодекса Российской Федерации вводили, как упоминалось выше, новые концепции и изменяли содержание некоторых предыдущих концепций, связанных с этим. вопрос. Изобразительное искусство. 139 ГК РФ, в котором определена коммерческая тайна, отменено.

В ст. 3 Федерального закона № 98-ФЗ «О коммерческой тайне», коммерческая тайна определяется как режим конфиденциальности информации, позволяющий ее владельцу увеличивать доходы при существующих или возможных обстоятельствах, избегать необоснованных расходов, сохранять положение в рынок товаров, работ, услуг или получения других коммерческих выгод^[7].

Федеральные законы от 06 апреля 2011 г. № 63-ФЗ (ред. от 28.07.2014 г.) «Об электронной подписи» и от 10 января 2002 г. № 1-ФЗ (ред. от 08.11.2007 г.) «Об электронной цифровой подписи» - данные законы призваны обеспечить конфиденциальность информации в электронном виде - подписи, которая рассматривается как личная подпись субъекта.

Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29.12.2015 г.) «О лицензировании отдельных видов деятельности» - закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в свете обеспечения защиты конфиденциальной информации при осуществлении лицензирования отдельных видов деятельности.

В соответствии с Законом Российской Федерации «О средствах массовой информации» осуществляется поиск, получение, производство и распространение массовой информации, создание ее фондов, хранение, использование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация. На технические устройства и оборудование, сырье и материалы, предназначенные для производства и распространения средств массовой информации, ограничения не распространяются, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

Среди нормативных правовых актов, которые частично регулируют рассматриваемые отношения, следует также упомянуть Закон «Об архивном деле в Российской Федерации». Пользователь архивных документов имеет право использовать, передавать, распространять содержащуюся в них информацию, а также копии архивных документов в любых законных целях и любым законным способом. Кроме того, были приняты другие нормативные правовые акты в этой области.

Указ Президента от 12 мая 2004 г. № 611 (изд. 03.03.2006 г.) «О мерах по обеспечению информационной безопасности Российской Федерации в области международного обмена информацией» - Указ регулирует меры по обеспечению информационной безопасности Российская Федерация осуществляет международные обмены информацией через информационные системы, сети и сети связи, в том числе международную ассоциацию интернет-сетей. Особое внимание уделяется обеспечению безопасности «закрытой» информации.

Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 (изд. От 8 февраля 2012 г.) «Вопросы Федеральной службы по техническому и экспортному контролю» - указ предназначен для защиты информации путем ее создания Федеральным Служба технического и экспортного контроля при своих территориальных органах Государственный научно-исследовательский испытательный институт проблем технической информации.

Указом Президента РФ от 20 января 1994 г. № 170 «Об основах государственной политики в области информатизации» (с изменениями от 9 июля 1997 г.) установлено, что основными направлениями государственной политики в области информатизации являются: обеспечение единства государственных стандартов в области информатизации, их соответствие международным нормативам и требованиям. Указом Президента Российской Федерации № 188 от 6 марта 1997 г. (с изменениями, внесенными Указом Президента № 1111 от 23 сентября 2005 г.) установлен перечень конфиденциальной информации.

Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 (с изменениями от 21 апреля 2010 г.) «О сертификации средств защиты информации» - этим Постановлением утверждено Положение об обязательной сертификации средств защиты информации, в котором отражены порядок сертификации средств защиты информации в Российской Федерации.

Подводя итог вышеприведенному материалу, можно сделать вывод, что конфиденциальная информация - это информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации, и представляет собой коммерческие, служебные, профессиональные или личные секреты, защищенные ее владельцем.

Отношения в отношении информации в целом и конфиденциальной информации в частности регулируются законом. В то же время информация как таковая и конфиденциальная информация подлежит регулированию различными отраслями права и нормативными правовыми актами Российской Федерации, важнейшей из которых является Конституция Российской Федерации. Россия также является субъектом международно-правовых отношений в отношении информации.

1.3 Защита компьютерной информации. Способы защиты

В ходе информационного процесса данные преобразуются из одного вида в другой с помощью методов. Обработка данных включает в себя множество различных операций. По мере развития научно-технического прогресса и общего усложнения связей в человеческом обществе трудозатраты на обработку данных неуклонно возрастают. Прежде всего, это связано с постоянным усложнением условий управления производством и обществом. Второй фактор, также вызывающий общее увеличение объёмов обрабатываемых данных, тоже связан с научно-техническим прогрессом, а именно с быстрыми темпами появления и внедрения новых носителей данных, средств их хранения и доставки^[8].

Основные операции, которые можно выполнить с данными:

- сбор данных - накопление информации для обеспечения достаточной полноты для принятия решений;

- формализация данных - приведение данных из разных источников к одной и той же форме, чтобы сделать их сопоставимыми друг с другом, то есть улучшить их доступность;

- фильтрация данных - отсеивание дополнительных данных, которые не нужны для принятия решений; в то же время уровень «шума» должен уменьшаться, а точность и адекватность данных должны увеличиваться;

- сортировка данных - упорядочение данных по заданному атрибуту для простоты использования; увеличивает доступность информации;

- архивирование данных - организация хранения данных в удобной и доступной форме; служит для снижения экономических затрат на хранение данных и повышает общую надежность информационного процесса в целом;

- защита данных - комплекс мер, направленных на предотвращение потери, воспроизведения и изменения данных;

- прием передачи данных между удаленными участниками информационного процесса; источник данных в информатике называется сервером, а потребитель - клиентом;

- преобразование данных - перенос данных из одной формы в другую или из одной структуры в другую. Преобразование данных часто связано с изменением типа носителя.

Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов, при этом не влияя на их работу. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т.д.

Активные угрозы направлены на нарушение нормального функционирования информационной системы путем нацеливания на ее компоненты. Активные угрозы включают, например, отключение компьютера или его операционной системы, уничтожение компьютерного программного обеспечения, нарушение линий связи и т.д. Источником активных угроз могут быть действия хакеров, вредоносные программы.

Преднамеренные угрозы подразделяются на внутренние (возникающие в управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и сложным моральным климатом.

Внешние угрозы могут быть определены злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, стихийные бедствия). Промышленный шпионаж получил широкое распространение - это незаконный сбор, присвоение и передача информации, составляющей коммерческую тайну, которая наносит ущерб владельцу коммерческой тайны лицом, не уполномоченным ее владельцем^[9].

Основными угрозами безопасности информации и нормального функционирования информационных систем являются:

Use ошибочное использование информационных ресурсов;

- несанкционированный обмен информацией между абонентами;

Information отказ от информации;

- нарушение информационных услуг;

- незаконное использование привилегий.

- утечка конфиденциальной информации;

- компрометация информации;

Подводя итоги главы, отметим, что информационная безопасность относится к защите информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, включая владельцев и пользователей информации и поддержку инфраструктуры.

В то же время защита информации - это комплекс мер, направленных на обеспечение информационной безопасности.

С методологической точки зрения правильный подход к проблемам информационной безопасности начинается с определения субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности являются оборотной стороной использования информационных технологий.

Говоря о системах безопасности, следует отметить, что они должны не только и не столько ограничивать доступ пользователей к информационным ресурсам, сколько определять и делегировать их полномочия в совместном решении задач, выявлять ненормальное использование ресурсов, прогнозировать чрезвычайные ситуации и устранять их последствия, гибко адаптируясь в условиях сбоев, частичной потери или длительной блокировки ресурсов.

Глава 2. Характеристика информационной безопасности ООО «Ревитех-Инвест»

2.1 Общая характеристика организации

Организация зарегистрирована 28 июля 2015 г. регистратором Межрайонная инспекция Федеральной налоговой службы № 17 по Пермскому краю. Генеральный директор организации – Аксенова Анастасия Андреевна. Компания ООО «Ревитех-Инвест» находится по юридическому адресу 614025, Пермский край, город Пермь, улица Героев Хасана, дом 83, помещение 208.

Трудовой коллектив предприятия состоит из 7 чел.

Основным видом деятельности является «68.20 аренда и управление собственным или арендованным недвижимым имуществом».

Дополнительные виды деятельности:

- Предоставление услуг по монтажу, ремонту и техническому обслуживанию профессиональной радио, телевизионной, звукозаписывающей и звуковоспроизводящей аппаратуры и видеоаппаратуры;

- Производство различной продукции, не включенной в другие группировки;

- Прочая деятельность, связанная с использованием вычислительной техники и информационных технологий;

- Предоставление различных видов услуг;

- Деятельность в области фотографии.

Анализ финансовых результатов является исключительно важным этапом в деятельности любой организации. В таблице 1 представлен анализ доходов и расходов компании.

Таблица 1

Финансовые результаты хозяйственной деятельности ООО «Ревитех-Инвест» за 2015-2017г. (в тыс. руб.)

Наименование показателя	2015 г.	2016 г.	2017 г.	Отклонение 2017г. к 2016г.
				В абсолютном выражении	В %
1	2	3	4	5	6
Выручка от продажи товаров, работ, услуг (за минусом НДС)	5721	6325	18791	12466	297,1
Себестоимость проданных товаров, работ, услуг	4818	5256	17776	12520	338,2
Валовая прибыль	903	1069	1015	-54	94,9
Коммерческие расходы	872	1009	972	-37	96,3
Прибыль (убыток) от продаж	31	60	43	-17	71,7
Прочие доходы	-	-	-	-	-
Прочие расходы	18	20	22	2	110
Прибыль (убыток) до налогообложения	13	40	21	-19	52,5
Текущий налог на прибыль	3	10	5	-5	50
Чистая прибыль отчетного года	10	30	16	-14	53,3

В Таблице 2 представлены финансовые результаты хозяйственной деятельности ООО «Ревитех-Инвест» за 2015-2017г. (в тыс. руб.).

Таблица 2

Основные показатели финансовой деятельности

Наименование показателя	2015	2016	2017	Отклонение 2017г. к 2016г.
				В абсолютном выражении	В % (темп роста)
1	2	3	4	5	6
Выручка от продажи товаров, работ, услуг всего	5721	6325	18791	12466	297,1
в т.ч. продажи через интернет	4605,4	4484,4	16385,8	11901,4	365,4
в т.ч. прочая деятельность, связанная с использованием вычислительной техники и информационных технологий	1115,6	1840,6	2405,2	564,6	130,7

В Таблице 2 представлены основные хозяйственные результаты деятельности в ООО «Ревитех-Инвест» за 2015- 2017 год и структура видов деятельности.

Из Таблицы 2 следует, что в 2017г. предприятие динамично развивалось: выручка по сравнению с 2016г увеличилась на почти в три раза (темп роста составил 297%).

В Таблице 3 представлена информация о структуре видов деятельности ООО «Ревитех-Инвест» за период 2015-2017г.

Таблица 3

Структура видов деятельности ООО «Ревитех-Инвест» за 2015­-2017г. (в %)

Вид деятельности	2015г.	2016г.	2017г.
1	2	3	4
Продажи через интернет	80,5	70,9	87,2
Прочая деятельность, связанная с использованием вычислительной техники и информационных технологий	19,5	29,1	12,8
Итого	100	100	100

Из приведенной выше таблицы видно, что основная масса выручки приходится на продажи через интернет, доля консультационных услуг в общем объеме выручки в 2017г. снизилась до 12%.

Таблица 4

Структура продаж ООО «Ревитех-Инвест» муниципальным и частным предприятиям по видам деятельности за 2015-2017г. (в %)

Год	Муниципальные предприятия и бюджетные организации			Частные коммерческие предприятия
	Продажи через интернет	Прочая деятельность	Всего	Продажи через интернет	Прочая деятельность	Всего
1	2	3	4	5	6	7
2015	96,2	3,8	100	88,1	11,9	100
2016	92,6	7,4	100	80,9	19,1	100
2017	95,4	4,6	100	81,3	18,7	100

В Таблице 4 представлены основные результаты хозяйственной деятельности в ООО «Ревитех-Инвест» за 2015- 2017 год.

Вместе с тем валовая прибыль предприятия в 2017г. уменьшилась на 5% по сравнению с 2016 г., что объясняется снижением наценки на реализуемые товары. Что бы сохранить конкурентоспособность предприятия руководство приняло решение значительно снизить наценку на ряд товаров.

Основные факторы, которые влияют на увеличение продаж:

- рост ассортимента;

- активная рекламная кампания.

В связи с экономическим кризисом предприятие в четвертом квартале 2017 г. сократило ряд расходов (расходы на аренду помещений, командировочные расходы и т.д.), поэтому в 2017г. коммерческие расходы предприятия составили 96,3% от уровня 2016 г. Прибыль от продаж предприятия в 2017г. снизилась до 72% от уровня 2016года.

2.2 Цель информационной политики

Цель информационной политики - формирование грамотного коллектива для работы на учреждении. В рамках достижения целей учреждения работникам дается возможность максимально полно реализовать свои знания, опыт, идеи; за это всецело отвечают менеджеры высшего звена. От сотрудников ожидается проявление собственной инициативы и продолжительного усердия и настойчивости. Для этого организация предоставляет своим работникам необходимые должности, систему мотивации и условий труда.

Таблица 5

Инвентаризация информационных ресурсов учреждения

Подразделение	Информационные ресурсы	Класс
- отдел кадров;	1. Список учебных заведений 2. Сведения о работниках	1
- отдел мероприятий гражданской обороны и предупреждения чрезвычайных ситуаций;	1. Планы разработок 2. Технологии	3
- оперативно-аналитический отдел;	1. Данные отчетности 2. Стратегические планы развития учреждения	2
- отдел связи и обслуживания региональной автоматизированной системы централизованного оповещения Пермского края;	1. Данные отчетности 2. Сведения о работниках 3. Данные о сделках	2
- отдел по поддержанию в готовности подвижного пункта управления Пермского края;	1. Планы разработок 2. Технологии 3. Содержание ноу-хау	3
- отдел по обеспечению вызова экстренных оперативных служб по единому номеру "112" на территории Пермского края.	1. Контракты 2. Информация о клиентах 3. Список работников 4. Данные об оборудовании	3
- финансовый отдел	1. Контракты 2. Информация о клиентах 3. Данные о количестве сделок	1
- отдел планирования основных мероприятий;	1. Планы разработок 2. Технологии	3

Методы и формы информационной политики можно охарактеризовать следующим образом. Для работы на учреждении подбираются сотрудники, подходящие как по личным, так и по деловым качествам, которые будут использовать свои знания, умения, навыки, способности и готовность к работе для достижения целей. Всем кандидатам и сотрудникам при соответствующей квалификации предоставляются равные шансы на профессиональное развитие. При наборе сотрудников, которых предполагается использовать на руководящих должностях, обращается внимание на способность и готовность брать на себя новые и более значимые задачи.

Выводы: почти все ресурсы конфиденциальны (высший балл - 3).

Таблица 6

Степень угроз и уязвимостей организации

Ресурсы	Угрозы
Финансовые
Денежные средства	Кражи и потери в результате стихийных бедствий
Основные фонды	Потери в результате аварий
Специальная техника	Потери в результате аварий
Информационные
База данных	Потери в результате аварий
Конфиденциальные данные	Кража
Документы бухгалтерии	Кража

Угрозы и уязвимости использования электронной почты:

- невозможность использования печати и подписи;

- потеря данных;

- кража данных;

- риск взлома.

Предлагаю ввести электронную подпись и контроль корреспонденции сотрудников с рабочей почты.

Вывод: необходимо застраховать имущество и уменьшать риски кражи.

Таблица 7

Уязвимость организации к инцидентам с безопасностью на основе матрицы профиля

Виды рисков	Необходимые действия
Увеличение налогов	Разработка новых стратегий финансирования
Кражи и потери в результате стихийных бедствий	Переориентация на другую специальную технику для работы
Потери в результате аварий	Изменение работы учреждения
Непредвиденные затраты, в том числе из-за инфляции	Поиск других поставщиков услуг
Изменение налоговой базы	Сложности при уплате налогов и составлении отчетности
Недостаточный уровень заработной платы	Потеря сотрудников

Наиболее вероятен риск краж, поэтому следует усиливать охрану.

Информационный объект – информационные массивы, наборы данных, технические средства, участвующие в обработке и хранении информации, персонал, информационные продукты. Информационным продуктом может быть объектом интеллектуальной собственности, если он содержит новую, ценную, уникальную для общечеловеческого тезауруса информацию.

Таблица 8

Основные информационные объекты в системе

Профиль информации	Наименование сведений, документов и другой информации, составляющих коммерческую тайну
1. Специальная информация	1.1 Сведения о структуре предприятия 1.2 Сведения о типе и размещении оборудования. 1.3 Сведения о запасах и движении сырья, материалов, комплектующих. 1.4 Сведения о модификации и модернизации ранее известных технологий, процессов. 1.5 Перспективные планы развития производства. 1.6 Технические спецификации существующей и перспективной продукции.
2. Управленческая информация	2.1 Сведения о подготовке, принятии и исполнении отдельных решений руководства учреждения по производственным, научно-техническим, коммерческим, организационным и иным вопросам. 2.2 Предмет совещаний у руководства. 2.3 Сведения о целях, рассматриваемых вопросах, результатах, фактах проведения совещаний и заседаний органов управления учреждением.
3. Финансовая информация	3.1 Сведения об источниках финансирования, финансовой устойчивости, размерах и условиях банковских кредитов. 3.2 Сведения о состоянии материально-технической базы ъ.
4. Информация по безопасности и персональным данным	4.1 Сведения о важных элементах систем безопасности, кодов и процедур доступа к информационным сетям и центрам; 4.2 Принципы организации защиты коммерческой тайны.
5. Научно-техническая информация	5.1 Новые технические, технологические и физические принципы, планируемые к использованию в продукции учреждения;5.2 Программы НИР; 5.3 Новые алгоритмы; 5.4 Оригинальные программы.

Для эффективной деятельности учреждения информационные объекты должны обладать следующими свойствами:

• своевременность доступа;
• конфиденциальность;
• доступность;
• достоверность;
• разграничение ответственности;
• защищенность от нежелательного искажения, утраты.

Проведем категоризацию информационных объектов по свойствам: целостность, доступность, конфиденциальность. Оценку выделенных свойств будем проводить по номинальной шкале.

Таблица 9

Обобщенная категория информации (конфиденциальность-целостность)

Определение обобщенной категории информации
Категория конфиденциальности информации	Категория целостности информации
	«высокая»	«средняя»	«нет требований»
«высокая»	1	1	2
«средняя»	1	2	3
«нет требований»	2	3	4

1 – «Жизненно важная» информация:

2 – «Очень важная» информация:

3 – «Важная» информация

4 – «Неважная» информация

Таблица 10

Обобщенная категория информации с учетом доступности

Определение обобщенной категории с учетом доступности
Обобщенная категория информации	Требуемая степень доступности выполнения задачи
	«Высокая»	«Средняя»	«Низкая»
«Жизненно важная»	1	1	2
«Очень важная»	1	2	2
«Важная»	2	2	3
«Неважная»	2	3	4

1 - «первая» категория:

2 - «вторая» категория:

3 - «третья» категория:

4 – «четвертая» категория:

В соответствии с порядком категорирования, нам необходимо прокатегорировать перечень сведений, составляющих конфиденциальную тайну организации.

Таблица 11

Оценка ценного информационного ресурса

Тематическая группа	Конфиденциальность	Целостность	Обобщенная категория	Доступность	Итоговая категория
1. Производственная информация	Высокая	Средняя	1	Средняя	1
2. Управленческая информация	Высокая	Средняя	1	Высокая	1
3. Информация о рынке	Высокая	Высокая	1	Высокая	1
4. Финансовая информация	Средняя	Высокая	1	Высокая	1
5. Информация по безопасности и персональным данным	Высокая	Высокая	1	Высокая	1
6. Научно-техническая информация	Высокая	Высокая	1	Средняя	1

Имеем три категории конфиденциальности информации: высокая, средняя, нет требований. Определение возможного ущерба для категорий конфиденциальности, целостности и доступности были получены в результате экспертного опроса должностных лиц учреждения:

Таблица 12

Определение ущерба категориям конфиденциальности и категориям целостности

Определение ущерба категориям конфиденциальности и категориям целостности
Ущерб категории конфиденциальности	Ущерб категории целостности
	«высокая» - 100 000	«средняя» - 85 000	«нет требований» - 15 000
«высокая» - 150 000	250 000 Предельно важная	235 000 Предельно важная	165 000 Важная
«средняя» - 110 000	210 000 Очень важная	195 000 Очень важная	125 000 Важная
«нет требований» - 10 000	110 000 Важная	95 000 Несущественная	25 000 Несущественная

Величины возможных ущербов для обобщенной категории конфиденциальности и целостности и категорий доступности – итоговых категорий рассчитываются как:

Таблица 13

Определение обобщенной категории с учетом доступности

Определение обобщенной категории с учетом доступности
Обобщенная категория информации	Требуемая степень доступности выполнения задачи
	«Высокая» - 95 000	«Средняя» - 53 000	«Низкая» - 7000
«Предельно важная» - 250 000	345 000 «Первая»	303 000 «Первая»	257 000 «Вторая»
«Очень важная» - 210 000	305 000 «Первая»	263 000 «Вторая»	217 000 «Вторая»
«Важная» - 165 000	260 000 «Вторая»	218 000 «Вторая»	172 000 «Третья»
«Несущественная» - 95 000	190 000 «Третья»	148 000 «Третья»	102 000 «Четвертая»

Таким образом, определение обобщенной категории с учетом доступности осуществляется с помощью количественной оценки.

2.3 Основные элементы защиты конфиденциальной информации

Режим контрольно-пропускного пункта представляет собой комплекс организационно-правовых ограничений и правил, устанавливающих порядок прохождения контрольно-пропускных пунктов в отдельные здания (помещения) работников, посетителей, транспортных средств и материальных ресурсов объекта. Режим проверки является одним из ключевых моментов при организации системы безопасности на объекте. С этой точки зрения режим контроля доступа - это комплекс организационных мер (административных и ограничительных), инженерных решений и действий службы безопасности.

Режим проверки введен для того, чтобы исключить:

- проникновение посторонних лиц в охраняемые (охраняемые) объекты, административные здания, а также в охраняемые помещения;

Посещение охраняемых помещений без официальной необходимости со стороны должностных лиц организации;

- внедрение (ввоз) в административные здания и на объекты персональных визуальных средств наблюдения, кино-, видео- и фотоаппаратуры, радиотехники и другого оборудования;

- вывоз (вывоз) из административных зданий и объектов документов и вещей без разрешения.

Пропускная способность обеспечивает:

- оснащение и организация работы постов с функциями контроля доступа на входах (выходах) в административные здания и помещения, создание пропускного пункта;

- введение системы постоянных, временных и разовых пропусков, а также пропусков-фактур;

- определение перечня предметов, запрещенных к ввозу (транспортировке) в административные здания и объекты;

- охрана административных зданий и сооружений.

Чтобы предотвратить незаконное получение конфиденциальной информации, следует локализовать (отключить, ослабить сигнал, зашифровать и т.д.) Источник информации.

Другим элементом безопасности являются организационные меры, направленные на чрезвычайную сложность несанкционированного доступа к конфиденциальной информации.

Основными конфиденциальными документами являются содержание технологий и ноу-хау. Есть отдел, который отвечает за офисную работу (один из производственных отделов).

Доступ к этим документам можно получить только с разрешения руководства департамента или руководителя учреждения. Обычно они являются технологами и инженерами учреждения. Работник подписывает свою ответственность. За ним следит сотрудник службы безопасности.

Информация, относящаяся к частной информации, обычно не является предметом независимых транзакций, но ее раскрытие может нанести материальный ущерб организации и нанести ущерб ее деловой репутации.

Служебные секреты, за исключением сведений, составляющих государственную тайну, включают в себя информацию о деятельности государственных органов и их сотрудников, представляющих не коммерческий, но общественный интерес, а также другую конфиденциальную информацию, составляющую частную, коммерческую тайну субъекта, полученную государственным органом в пределах своей компетенции выполнять свои функции.

В Федеральном законе Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и защите информации».

Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации:

1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданскую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

2. Лица, чьи права и законные интересы были нарушены в результате разглашения информации с ограниченным доступом или другого несанкционированного использования такой информации, имеют право в установленном порядке обратиться за судебной защитой своих прав, в том числе исков о возмещении ущерба, компенсации морального вреда, защиты. честь, достоинство и деловая репутация.

3. В случае, если распространение определенной информации ограничено или запрещено федеральными законами, гражданско-правовая ответственность за распространение такой информации не несет лицо, предоставляющее услуги:

1) или о передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо путем хранения информации и предоставления доступа к ней, при условии, что это лицо не может знать о незаконности распространения информации.

Подводя итог, можно сказать, что задачи информационной политики в современных условиях заключаются в следующем:

1. Информационная политика должна быть тесно связана со стратегией развития (или выживания) учреждения. В связи с этим, это информационная поддержка для реализации этой стратегии.

2. Информационная политика должна быть достаточно гибкой. Это означает, что он должен быть, с одной стороны, стабильным, поскольку именно со стабильностью связаны определенные ожидания сотрудника, а с другой - динамичными, то есть скорректированными в соответствии с изменениями в тактике, производстве и экономическая ситуация.

3. Поскольку формирование квалифицированной рабочей силы связано с определенными затратами для учреждения, информационная политика должна быть экономически обоснованной, т. Е. Основанной на ее реальных финансовых возможностях.

4. Информационная политика должна предусматривать индивидуальный подход к своим сотрудникам.

Рассмотрим в следующей главе направления совершенствования формирования информационной политики.

Глава 3. Направления совершенствования информационной безопасности ООО «Ревитех-Инвест»

3.1 Мероприятия по обеспечению информационной безопасности

Выделим угрозы, классифицируем их и определим источники этих угроз, а также источники - субъекты строят модель преступника.

Природные угрозы (стихийные бедствия): вызваны воздействием на информационную систему природных, природных явлений, физических процессов, различных видов бедствий, не зависящих от человека.

Искусственные угрозы вызваны непосредственно деятельностью человека, среди которых преднамеренные и случайные угрозы.

Преднамеренные угрозы:

- Преднамеренная кража или уничтожение данных на рабочей станции или сервере;

- Введение агентов в число сотрудников системы или набор путем подкупа, шантажа с целью получения конфиденциальной информации или полномочий лиц, обладающих этой информацией;

- Физическое разрушение системы (взрывом, поджогом и т.д.) Или отключение всех или некоторых наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, персонала и т.д.);

- Несанкционированное копирование медиа;

- Несанкционированное получение паролей и других деталей разграничения прав доступа для использования информации под видом пользователя;

- Преднамеренное заражение вредоносным ПО.

Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют реальную опасность для современного бизнеса, который широко использует компьютерные сети, Интернет и электронную почту. Проникновение вируса в узлы корпоративной сети может привести к нарушению их функционирования, потере рабочего времени, потере данных, краже конфиденциальной информации и даже прямому растрате средств. Вирусная программа, проникшая в корпоративную сеть, может дать злоумышленникам частичный или полный контроль над деятельностью компании.

- Кража документации (распечатки, записи, документы и т.д.)

- Несанкционированный доступ в компьютерные сети

Целью несанкционированного проникновения извне в сеть учреждения может быть нанесение вреда (уничтожение данных), кража конфиденциальной информации и ее использование в незаконных целях, использование сетевой инфраструктуры для организации атак на сторонние сайты, кража средств со счетов.

Attacks DOS атаки

Атака типа DOS («отказ в обслуживании») - это внешняя атака на узлы сети организации, ответственной за ее безопасную и эффективную работу (файловые, почтовые серверы). Злоумышленники организуют массовую отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, как следствие, на некоторое время отключить их. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т.д.

Случайные угрозы:

- ущерб, нанесенный пользователем в результате неосторожных действий

- ввод неверных данных в систему из-за некомпетентности;

- отправка конфиденциальной информации по ошибочным адресам;

- Записывать файлы в папки и на носители;

- вирусная инфекция;

- СПАМ.

Всего за несколько лет спам превратился из незначительного раздражающего фактора в одну из самых серьезных угроз безопасности: в последнее время электронная почта стала основным каналом распространения вредоносных программ; спам занимает много времени для просмотра, а затем удаления сообщений, вызывает у сотрудников чувство психологического дискомфорта; как отдельные лица, так и организации являются жертвами мошеннических схем, осуществляемых спамерами (жертвы часто пытаются не разглашать такие события); Наряду со спамом, важная переписка часто удаляется, что может привести к потере клиентов, расторжению договоров и другим неприятным последствиям.

Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.)

Запуск технологических программ, способных вызвать потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных);

Неумышленная порча или потеря носителей информации

Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы;

Техногенные угрозы, источниками которых являются различные технические неполадки.

• Отключение электрической энергии, приводящее к потери не сохраненных файлов, данных
• Отказ функционирования вычислительной техники и программного обеспечения (см. приложение).

Далее необходимо определить вероятности уязвимости категорий ценного информационного ресурса учреждения для реализации той или иной угрозы информационной безопасности (см. приложение).

3.2 Совершенствование системы безопасности

Безопасность ООО «Ревитех-Инвест» связана с защитой активов от угроз, где угрозы классифицируются на основе потенциала злоупотребления защищенными активами. Все виды угроз должны быть приняты во внимание, но в области безопасности наибольшее внимание уделяется тем, которые связаны с человеческими действиями, злонамеренными или другими. Защита информации - это принятие правовых, организационных и технических мер, направленных на:

1) Обеспечение защиты информации ООО «Ревитех-Инвест» от несанкционированного доступа, уничтожения, модификации, блокирования, копирования, предоставления, распространения, а также от других незаконных действий в отношении такой информации;

2) конфиденциальность информации ограниченного доступа;

3) осуществление права на доступ к информации. Владелец информации, оператор информационной системы, в случаях, установленных законодательством Российской Федерации, обязан обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) ее передача лицам, не имеющим права доступа к информации;

2) своевременное выявление фактов несанкционированного доступа к информации;

3) предотвращение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) избежание воздействия на технические средства обработки информации, в результате которых нарушается их функционирование;

5) возможность немедленного восстановления информации, измененной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня информационной безопасности.

В практике защиты информации существует несколько уровней защиты информационных объектов:

- организационные (административные) методы (включая правовые методы защиты);

- методы инженерной защиты;

- технические методы защиты;

- программные и аппаратные методы защиты.

1. Юридическое сопровождение: нормативные документы, положения, инструкции, которые являются носителями тех требований, которые являются обязательными в рамках действий системы защиты.

2. Организационные методы защиты

Организационные методы защиты в основном ориентированы на работу с персоналом, выбор местоположения и расположения объектов корпоративной сети, организацию систем физической и противопожарной защиты, организацию контроля за выполнением принятых мер, установление личной ответственности за выполнение мер защиты. Использование организационных мер очень эффективно и снижает общее количество угроз.

3. Технические (физические) методы защиты

Технические методы основаны на использовании специальных технических средств защиты информации и контроля ситуации и оказывают существенное влияние на устранение угроз информационной безопасности, связанных с действиями криминогенных элементов при получении информации незаконными техническими средствами.

Таблица 14

Методы защиты информации ООО «Ревитех-Инвест»

Информационная угроза	Причина возникновения	Комплекс мероприятий по защите
Внедрение агентов в число персонала системы, либо вербовки путем подкупа с целью завладения конфиденциальной информацией или полномочиями лиц	Искусственные (вызваны непосредственно деятельностью человека), преднамеренные угрозы	Технические (физические) методы защиты: организация охраны и режима работы организации. Контроль за перемещением по зданию сотрудников и посетителей (видеоконтроль, пропуски)
Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.)	Искусственные (вызваны непосредственно деятельностью человека), преднамеренные угрозы	Технические (физические) методы защиты: организация охраны и режима работы организации с целью исключения тайного проникновения на её территорию, контроля за перемещением по зданию сотрудников и посетителей (видеоконтроль, пропуски)
Несанкционированное копирование носителей информации	Искусственные (вызваны деятельностью человека), преднамеренные угрозы	Аппаратно-программные методы защиты: Внедрение системы индивидуальных паролей для каждого сотрудника
Хищение документации (распечаток, записей, документов и т.д.)	Искусственные (вызваны непосредственно деятельностью человека), преднамеренные угрозы	Технические (физические) методы защиты: организация охраны и режима работы организации с целью исключения тайного проникновения на её территорию, контроля за перемещением по зданию сотрудников и посетителей (видеоконтроль, пропуски)
Ввод в систему ошибочных данных в силу некомпетентности	Искусственные и случайные угрозы	Организационные методы защиты: обучение персонала, повышение степени квалификации, проведение контроля деятельности
Отказ функционирования вычислительной техники и программного обеспечения	Техногенные угрозы, источниками которых являются различные технические неполадки.	Технические методы защиты: создание резервных копий Аппаратно-программные методы защиты: система антивирусной защиты

4. Программные и аппаратные методы защиты

Программно-аппаратные методы в основном направлены на устранение угроз, непосредственно связанных с обработкой и передачей информации. Без этих методов невозможно построить полноценную интегрированную систему защиты информации.

Реализация информационной безопасности определенными структурными подразделениями, такими как служба защиты документов, служба доступа на основе режима для сотрудников, служба безопасности, информационно-аналитическая служба.

Правовая защита информационного ресурса признана как на международном, так и на национальном уровнях. На международном уровне это определяется соответствующими конвенциями, декларациями и осуществляется посредством патентования, защиты авторских прав и лицензирования для определенного вида деятельности и владения соответствующей информацией.

Обязательным элементом системы информационной безопасности является внедрение системы пропусков, которая позволит контролировать посетителей приемной и исключить возможность тайного проникновения в помещения и приобретения ценного информационного ресурса.

Кроме того, есть возможность установить системы наблюдения (видеокамеры).

Создание резервных копий является важным средством защиты информации как в случае повреждения технического оборудования (преднамеренного или случайного), так и в случае сбоя в работе оргтехники.

Кроме того, использование источников бесперебойного питания обеспечит нормальное рабочее состояние компьютеров и другого оборудования при различных критических условиях.

Методы аппаратной и программной защиты:

Внедрение системы индивидуальных паролей для каждого сотрудника, которая ограничит доступ к оборудованию посторонним лицам.

Кроме того, регулярная смена паролей необходима для снижения риска его взлома и, как следствие, потери данных.

Система антивирусной защиты - внедрение антивирусного программного обеспечения. Антивирусная защита - это комплекс мер, направленных на предотвращение, обнаружение и нейтрализацию действий компьютерного вируса с помощью антивирусных программ. Вирусные программы могут нанести значительный ущерб учреждению в целом (потеря, изменение данных и т.д.).

Чтобы защитить ваш компьютер от взлома, атак и кражи информации, вам нужно обеспечить компьютер надежной защитой, поэтому вам необходимо установить специальную программу, которая будет контролировать все порты и сможет своевременно уведомлять нас о нападении, или даже просто отразить это. Такие программы называются брандмауэрами или брандмауэрами. Обнаружив попытку несанкционированного входа в компьютер, программа может просто подать сигнал тревоги и может немедленно заблокировать доступ злоумышленнику.

Требуемая проектная документация:

Concept Концепция политики безопасности.

For Инструкция по организации защиты паролем.

- Инструкция по организации пропуска системы.

- Инструкция по организации антивирусной защиты.

3.3 Экономическая эффективность совершенствования системы информационной безопасности

Определим остаточный риск для информационных угроз, выделенных в результате ранжирования. Для этого необходимо оценить, на сколько средство защиты способно снизить риск по шкале отражения угроз информационной безопасности. Полученный результат сведем в таблицу.

Таблица 15

Остаточный риск

Вид угроз информационной безопасности	Угроза	Оценка риска до	Величина парирования	Оценка риска после
Искусственные преднамеренные угрозы	Внедрение агентов в число персонала системы, либо вербовки путем подкупа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающих этой информацией	161,96	2	80,98
	Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.)	345	3	115
	Несанкционированное копирование носителей информации	207	4	51,75
	Хищение документации (распечаток, записей, документов и т.д.)	1196,2	2	598,1
Искусственные случайные угрозы	Ввод в систему ошибочных данных в силу некомпетентности	862,5	2	431,25
Техногенные угрозы	Отказ функционирования вычислительной техники и программного обеспечения	1380	3	460

Таким образом, по данным, приведенным в таблице, можно сделать вывод о том, что вводимые меры защиты ценного информационного ресурса являются целесообразными и эффективными.

Заключение

Итак, нами рассмотрены общие вопросы защиты информации в базе данных автоматизированной системы управления учреждением, вопросы информационной безопасности в сфере высоких технологий, защиты персональных данных работников и конфиденциальной информации.

Информационная безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность учреждения за счет ликвидации или снижения рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Информационная и интеллектуальная безопасность направлена ​​на такую ​​работу с персоналом, на установление таких трудовых и этических отношений, которые можно определить как «безубыточность». Вся эта деятельность не является отдельным направлением в функциональности менеджера по персоналу, а только органично вписывается в него. И здесь практически не привлекаются дополнительные ресурсы при условии, что в компании есть все этапы организации и управления персоналом.

Персонал оказывает значительное, а в большинстве случаев даже решающее влияние на экономическую безопасность учреждения. В связи с этим отбор информации, их изучение, размещение значительно повышают устойчивость коммерческих учреждений к возможному внешнему негативному влиянию и проникновению незаконных элементов агентами.

Регулярное изучение всех категорий персонала, понимание объективных потребностей сотрудников, их ведущих интересов, подлинных мотивов и выбора подходящих методов присоединения к рабочей команде - все это позволяет менеджерам предотвращать и выявлять небезопасность персонала.

Основными принципами формирования информационной политики должны быть следующие:

1. Подчиненность информационной политики государству и целям стратегического развития учреждения и обоснование фонда оплаты труда исходя из экономической эффективности управленческих решений.

2. Баланс экономических и социальных аспектов информационной политики.

3. Обеспечение работников максимально возможными социальными гарантиями с учетом развития задач учреждения.

4. Соответствие информационной политики регионального рынка труда с точки зрения квалификации работников, уровня оплаты труда работников различных категорий, условий труда, темпов развития института и наличия трудовых ресурсов.

5. Соответствие решений администрации по вопросам информационной политики ожиданиям рабочей силы при условии соблюдения действующего законодательства.

Информационная политика должна быть адекватной концепции развития института, ориентирована на тенденции и планы его развития и призвана учитывать сохранение независимости института; постоянный необходимый рост; рост самофинансирования; поддержание финансового баланса

Список литературы

1. Нормативно-правовые акты

1. Трудовой кодекс Российской Федерации от 30.12.2001 г. (ред. от 30.12.2015). М., 2015. – 468 с.
2. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016). М., 2016. – 422 с.

2. Монографии и учебная литература

1. Аникин И.В., Глова В.И., Нигматуллина А.Н. Методы и средства защиты компьютерной информации: Учебное пособие. Казань: КГТУ 2016. С. 16, С.19.
2. Амелин Р. В. Информационная безопасность. М.: Юристъ, 2016. С. 121.
3. Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. - М., 2016.
4. Балабанов И.Т. Инновационный менеджмент. Учеб.пособ. – СПб.: Изд-во ПИТЕР, 2015. – 315 с.
5. Баранчеев В.П. Управление инновационным бизнесом: обзор актуальных идей – М.: Спутник+, 2010. – 456 с.
6. Белкин П.Ю., Михальский О.О. и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учеб. пособие для вузов. –М.: Радио и связь, 2014. – 168с.
7. Богдановская И.Ю. Право на доступ к информации. Доступ к открытой информации М.: ЗАО «Юстицинформ» 2016. С. 344.
8. Дрофа В.В., Половинко В.С. Управление персоналом научно-производственных организаций. - М.: Информ-Знание; Омск: Изд-во Наследие. Диалог-Сибирь, 2010. – 512 с.
9. Ильенкова С.Д. Инновационный менеджмент. Учебник. – М.: Юнити, 2010. – 468 с.
10. Жилкина Т. Уничтожение электронных документов // Секретарское дело. 2015. № 10. С.36.
11. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2014. - 452 с.
12. Камерон К., Куинн Р. Диагностика и изменение организационной культуры. – СПб.: Питер, 2010. – 246 с.
13. Кибанов А.Я., Захаров Д.К. Формирование системы управления персоналом. – М.: ГАУ, 2010. – 485 с.
14. Лобанова Т.Н. Организация и персонал. – М.: Издательство «Городец», 2010. – 278 с.
15. Маслов Е.В. Управление персоналом учреждения. – М.: ИНФРА-М; Новосибирск: НГАЭиУ, 2010. – 466 с.
16. Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2013. – 368 с.
17. Мордовин С. К. Управление человеческими ресурсами. - М.: Инфра-М, 2014. – 456 с.
18. Морозов Ю.П., Гаврилов А.И., Городнов А.Г. Инновационный менеджмент. – М.: ЮНИТИ, 2010. – 596 с.
19. Одегов Ю.Г., Журавлев П.В. Управление персоналом. – М.: Финстатинформ, 2010. – 529 с.
20. Основы информационной безопасности. Учебное пособие для вузов/Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. – М.: Горячая линия – Телеком, 2012. – 544 с.
21. Основы социального управления./ Под ред. В.Н. Иванова. – М., 2004. – 553 с.
22. Основы инновационного менеджмента: Учеб.пособие/ред.Завлин П. Н., Казанцев А. К. – М: Экономика, 2015. – 394 с.
23. Попов В.Б. Основы информационных и телекоммуникационных технологий. Часть 4. Программные средства информационных технологий. - М.: Финансы и статистика, 2010. – 254 с.
24. Фатхутдинов Р.А. Инновационный менеджмент. – М.: Интел-Синтез, 2014. – 503 с.

3. Периодические издания

1. Алехина О., Павлуцкий А. Служба персонала.//Управление персоналом. – 2016. - №11. – C. 56-59.
2. Баранчеев В.П. Изучение инновационной активности компании как её конкурентной силы // Менеджмент сегодня. - 2011. - № 4. С. 12-45.
3. Беликов П.А. Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных // Труды IX Международной научно-технической конференции «Новые информационные технологии и системы». 2015. С. 223-228.
4. Белова А.А. Соглашение о конфиденциальности в отечественном гражданском обороте // Вестник. 2016. № 1. С. 78-84.
5. Гришачев В. В. Новые каналы утечки конфиденциальной речевой информации через волоконно-оптические подсистемы СКС // Специальная техника. 2015. № 2. С. 2-9.
6. Иванов Д.В. Источники правового регулирования конфиденциальной информации как условия трудового договора // Трудовое право. 2011. № 4. С.25-30.

Приложение

Таблица 1

Перечень угроз ценному информационному ресурсу

Обозначение	Угроза	Вероятность
Естественные угрозы
У1 У2 У3 У4	Пожар Ураган Смерч Наводнение	0,01 0,005 0,005 0,005
Искусственные преднамеренные угрозы
У5	Целенаправленная кража или уничтожение данных на сервере	0,01
У6	Внедрение агентов в число персонала системы, либо вербовки путем подкупа, шантажа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающих этой информацией	0,02
У7	Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.)	0,2
У8	Несанкционированное копирование носителей информации	0,2
У9	Несанкционированное получение паролей и других реквизитов разграничения прав доступа с целью использовании информации под видом пользователя.	0,2
У10	Преднамеренное заражение программного обеспечения вредоносными программами	0,25
У11	DOS-атаки	0,15
У12	Хищение документации (распечаток, записей, документов и т.д.)	0,4
У13	Несанкционированное проникновение в компьютерные сети	0,2
Искусственные случайные угрозы
У14	Повреждение данных пользователем в результате неосторожных действий	0,3
У15	Ввод в систему ошибочных данных в силу некомпетентности	0,05
У16	Отправка конфиденциальной информации по ошибочным адресам	0,3
У17	Запись файлов в папки и на носители общего доступа	0,35
У18	Заражение вирусами	0,15
У19	Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.)	0,05
У20	Запуск технологических программ, способных вызвать потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных);	0,1
У21	Неумышленная порча или потеря носителей информации	0,1
У22	Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов.	0,15
У23	СПАМ	0,4
Техногенные угрозы
У24	Отключение электрической энергии, приводящее к потери не сохраненных файлов, данных	0,45
У25	Старение носителей информации и средств обработки	0,1
У26	Замыкание электрической сети	0,15
У27	Отказ функционирования вычислительной техники и программного обеспечения	0,48

Таблица 2

Уязвимость ценного информационного ресурса

	Угроза	Вероятность реализации угрозы	Объект воздействия Категория ЦИР	Вероятность уязвимости объекта
Естественные угрозы	У1 Стихийные бедствия Пожар Ураган Смерч Наводнение	0,005	Первая	0,005
			Вторая	0,01
			Третья	0,015
			Четвертая	0,2
Искусственные преднамеренные угрозы	У2. Целенаправленная кража или уничтожение данных на сервере	0,01	Первая	0,02
			Вторая	0,025
			Третья	0,03
			Четвертая	0,035
	У3. Внедрение агентов в число персонала системы, либо вербовки путем подкупа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающих этой информацией	0,002	Первая	0,09
			Вторая	0,04
			Третья	0,04
			Четвертая	0,04
	У4. Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.)	0,02	Первая	0,05
			Вторая	0,04
			Третья	0,035
			Четвертая	0,032
	У5. Несанкционированное копирование носителей информации	0,02	Первая	0,03
			Вторая	0,025
			Третья	0,01
			Четвертая	0,005
	У6. Несанкционированное получение паролей и других реквизитов разграничения прав доступа с целью использовании информации под видом пользователя	0,002	Первая	0,04
			Вторая	0,03
			Третья	0,03
			Четвертая	0,02
	У7. Преднамеренное заражение программного обеспечения вредоносными программами	0,025	Первая	0,01
			Вторая	0,015
			Третья	0,023
			Четвертая	0,029
	У8. DOS-атаки	0,015	Первая	0,002
			Вторая	0,003
			Третья	0,01
			Четвертая	0,015
	У9. Хищение документации (распечаток, записей, документов и т.д.)	0,02	Первая	0,03
			Вторая	0,035
			Третья	0,04
			Четвертая	0,045
	У10. Несанкционированное проникновение в компьютерные сети	0,02	Первая	0,02
			Вторая	0,023
			Третья	0,025
			Четвертая	0,027
	У11. Повреждение данных пользователем в результате неосторожных действий	0,03	Первая	0,0035
			Вторая	0,003
			Третья	0,003
			Четвертая	0,003
	У12. Ввод в систему ошибочных данных в силу некомпетентности	0,05	Первая	0,05
			Вторая	0,05
			Третья	0,056
			Четвертая	0,06
	У13. Отправка конфиденциальной информации по ошибочным адресам	0,03	Первая	0,001
			Вторая	0,001
			Третья	0,0012
			Четвертая	0,0015
	У14. Запись файлов в папки и на носители общего доступа	0,035	Первая	0,001
			Вторая	0,001
			Третья	0,001
			Четвертая	0,001
	У15. Заражение вирусами	0,015	Первая	0,0012
			Вторая	0,001
			Третья	0,001
			Четвертая	0,001
	У16. Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.)	0,05	Первая	0,0034
			Вторая	0,0034
			Третья	0,003
			Четвертая	0,003
	У17. Запуск технологических программ, способных вызвать потерю работоспособности ЭВМ, осуществить неустранимые изменения (потеря данных);	0,01	Первая	0,001
			Вторая	0,001
			Третья	0,001
			Четвертая	0,001
	У18 Неумышленная порча или потеря носителей информации	0,01	Первая	0,005
			Вторая	0,0051
			Третья	0,0052
			Четвертая	0,0053
	У19. Неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);	0,015	Первая	0,003
			Вторая	0,003
			Третья	0,0031
			Четвертая	0,0032
	У20. СПАМ	0,004	Первая	0,001
			Вторая	0,0015
			Третья	0,002
			Четвертая	0,003
Техногенные угрозы	У21. Отключение электрической энергии, приводящее к потери не сохраненных файлов, данных	0,45	Первая	0,002
			Вторая	0,0025
			Третья	0,0025
			Четвертая	0,0025
	У22. Старение носителей информации и средств обработки	0,001	Первая	0,0001
			Вторая	0,0001
			Третья	0,0001
			Четвертая	0,0001
	У23. Замыкание электрической сети	0,15	Первая	0,003
			Вторая	0,003
			Третья	0,0035
			Четвертая	0,0035
	У24. Отказ функционирования вычислительной техники и программного обеспечения	0,4	Первая	0,001
			Вторая	0,002
			Третья	0,0025
			Четвертая	0,0025

1. Богдановская И.Ю. Право на доступ к информации. Доступ к открытой информации М.: ЗАО «Юстицинформ» 2016. С. 344. ↑

2. Антопольский, А.А. Правовое регулирование информации ограниченного доступа в сфере государственного управления: автореферат дис. канд. юрид. наук. - М., 2016. С. 45. ↑

3. Амелин Р. В. Информационная безопасность. М.: Юристъ, 2016. С. 121. ↑

4. Иванов Д.В. Источники правового регулирования конфиденциальной информации как условия трудового договора // Трудовое право. 2011. № 4. С.25. ↑

5. Балабанов И.Т. Инновационный менеджмент. Учеб.пособ. – СПб.: Изд-во ПИТЕР, 2015. С. 135. ↑

6. Белова А.А. Соглашение о конфиденциальности в отечественном гражданском обороте // Вестник. 2016. № 1. С. 80. ↑

7. Аникин И.В., Глова В.И., Нигматуллина А.Н. Методы и средства защиты компьютерной информации: Учебное пособие. Казань: КГТУ 2016. С. 16. ↑

8. Беликов П.А. Новый метод управления жизненным циклом информации. Динамика ценности информации в базах данных // Труды IX Международной научно-технической конференции «Новые информационные технологии и системы». 2015. С. 226. ↑

9. Баранчеев В.П. Изучение инновационной активности компании как её конкурентной силы // Менеджмент сегодня. - 2011. - № 4. С. 16. ↑