Назначение и структура системы защиты информации коммерческого предприятия (Сущность защиты информации и важность информации в деятельности предприятия)

Содержание:

Введение

Ежегодно информационные технологии становятся все более совершенными и заметно облегчают жизнь людей. Сегодня информационные технологии играют все большую роль в экономке и в процессе управления предприятием. Без использования современных технологий любое даже самое преуспевающее не может оставаться конкурентоспособным на мировом рынке.

Сегодня информация выступает ключевым фактором успешности и конкурентоспособности предприятия, а ее защита выступает одной из первоочередных задач. С развитием информационных технологий в мире остро встал вопрос о проблеме защиты информации, ставшей одновременно и более уязвимой, и значимой для многих отраслей экономики и политики в результате влияния все тех же главнейших факторов: информатизации общества и ускорения технологического развития.

Несмотря на то, что ежегодно процесс защиты информации совершенствуется, злоумышленникам удается находить возможность взлома даже самой безопасной на первый взгляд системы. Именно поэтому, актуальность вопроса защиты информации не вызывает сомнения.

Целью данной работы является исследование теоретических и практических особенностей обеспечения информационной безопасности на предприятии.

Для достижения поставленной цели необходимо рассмотреть такие задачи как:

• Исследовать сущность информации на предприятии;
• Рассмотреть правовую основу информационной безопасности;
• Изучить способы защиты информации;
• Исследовать комплексную систему защиты информации на предприятии;
• Проанализировать особенности защиты информации на фармацевтическом предприятии.

Объектом исследования данной работы выступает процесс и особенности защиты информации на предприятии. Предметом является защита информации на примере фармацевтического предприятия.

К источникам используемой информации следует отнести работы Шаньгина В.Ф., Жук А.П., Щеглова А.Ю. и других ученых занимающихся вопросами информационной безопасности и особенностями защиты информации на предприятии.

Практическая значимость исследования заключается в том, что выводы и предложения, содержащиеся в работе, могут быть использованы в процессе защиты информации на предприятии.

Структура работы включает в себя введение, две главы, объединяющие пять параграфов, заключение, список использованной литературы.

Глава 1. Теоретические особенности защиты информации на предприятии

1.1 Сущность защиты информации и важность информации в деятельности предприятия

Проблемы защиты информации существовали с древних времен и были связаны, как правило, с сохранением в тайне сведений, относящейся к государственным и коммерческим секретам. Обычно информацию, предназначенную для защиты, характеризуют как секретную (сведения, относящиеся к государственной тайне) и конфиденциальную (например, коммерческая тайна, а также сведения, касающиеся личной жизни и деятельности граждан). В общем случае, под информационной безопасностью понимают состояние защищенности информационной системы, в которую входят как непосредственно информация, так и поддерживающая ее инфраструктура, которая в сущности представляет собой информационную систему. Можно считать, что информационная система находится в состоянии защищенности, если обеспечены конфиденциальность, доступность и целостность хранимой и обрабатываемой в ней информации.

Получение прибыли в условиях конкуренции зависит от секретов производства и создания новых технологий, поэтому результат деятельности каждого предприятия в большем зависит от поддержания целостности и конфиденциальности информации, которая на данный момент не знакома другим организациям. Такая информация составляет интересы преступников и злоумышленников, которых подсылают конкурирующие фирмы.

Исходя из этого, причиной многих проблем, которые испытывают предприятия, может быть то, что они не понимают важности угроз, оборачивающихся в банкротство и несостоятельность. К такому исходу может привести утечка информации даже на 20%. В большей степени это происходит в управленческих организациях, страховых предприятиях и банках. Потеря или искажение информации может произойти как из-за неквалифицированных работников, так и из-за отсутствия соответствующей системы защиты^[1].

Отметим, что защите подлежит не вся информация, а только та, которая представляет наибольшую ценность для предпринимателя. Защита информации на предприятии — это совокупность мер, обеспечивающих безопасность важных документов, данных сотрудников и клиентов, тайн и другой конфиденциальной информации. Такая система обеспечения информационной безопасности должна использоваться в каждой организации. Чтобы создать систему защиты информации, нужно учитывать способы возникновения, форму и природу возможных угроз. Они являются следствием ситуаций, в которых проявляются слабые стороны организации. Чтобы выявить все угрозы, необходимо провести анализ за все время ведения бизнеса и изучить результаты, которые позволят обнаружить некоторые слабости и недоработки, способные создать негативную ситуацию. Самым обязательным пунктом при этом анализе является ведение журнала всех произошедших событий и переоценка рисков. Тогда можно достаточно точно определить угрозу, на которую следует обратить больше внимания. Характеристики угроз определяют также некоторые состояния организации, которые могут вызвать убытки всей компании в целом или ее подразделений.

Все угрозы можно объединить по одному признаку, который вынуждает вести защитные действия, чтобы не допустить искажение или утечку информации. Для информации, являющейся собственностью предприятия, могут существовать угрозы следующих видов (Рисунок 1).

Рисунок 1 – Виды угроз информации

Существует несколько основных направлений защиты информации:

1. Организационно-техническое. Создает барьер для объектов защиты, который затрудняет или исключает искажение и доступ к информации в Угрозы информации Угрозы конфиденциальности информации и программ. Данные могут быть перехвачены с помощью специального оборудования. Опасность повреждения. Действия злоумышленников могут привести к искажению или потере передаваемой информации. Угроза доступности. После захвата линии злоумышленниками искажается своевременность передаваемой информации. Риск отказа от исполнения транзакций. Пользователи могут отказаться от информации, стараясь избежать ответственности. Внутренние угрозы, исходящие от неквалифицированного персонала и неопытных руководителей.

2. Правовое. Обеспечивается с помощью государственных законов, норм, инструкций и документов предприятия.

3. Экономическое. Правонарушитель возмещает материальный ущерб, причиненный владельцу информации в результате несанкционированного доступа. После того, как необходимая информация будет собрана, руководство организации может создать подразделение информационной безопасности, которое будет включать квалифицированных сотрудников, осуществляющих исполнение специальных защитных мероприятий.

В задачи такого подразделения защиты информации входит^[2]:

• обеспечивать защиту данных;
• не допускать несанкционированное проникновение к секретной информации;
• обеспечивать целостность информации в организации во время чрезвычайных ситуаций.

Защита информации в организации должна занимать первенствующее место в становлении и ведении бизнеса. Обеспечение информационной безопасности — залог успеха, прибыли и достижения целей предприятия. Поэтому руководители организаций должны учитывать важность информационной безопасности и предсказывать появление новых технологий в этой области.

1.2. Правовые особенности защиты информации

В первой половине 90-х гг. ХХ в. бурно развивавшиеся информационные отношения, а точнее, их отдельные аспекты, регулировались подзаконными актами, не образующими в целом какой-то системы. При этом Конституция как основной закон, в статье 23 гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Статья 29 определяет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

Поэтому достаточно быстро пришло осознание того, что необходим базовый законодательный акт, который мог бы являться отправной точной для формирования такой системы. Им стал Федеральный закон «Об информации, информатизации и защите информации». Как отмечают И.Л. Бачило и А.В. Волокитин, с принятием данного Федерального закона «впервые в российском законодательстве осуществлен важнейший шаг по регулированию отношений, связанных с созданием условий реализации права на информацию и затрагивающих интересы как государства, так и каждого гражданина. В данном случае законодатель считает объектом правового регулирования не содержание или смысл информации (здесь применяются институты авторского и патентного права) и не материальный носитель информации, а документированную информацию (документ) в целом. Закон охватывает информационное пространство, системо-образующим элементом которого являются документированная информация (документ) и формируемые на ее основе информационные ресурсы».

Действительно, с принятием данного акта впервые была введена в легальный нормативный оборот категория «информационный ресурс», нашедшая затем широкое распространение в других актах нормативного и концептуального характера. В целом данный закон делал попытку охватить своим регулирующим воздействием сразу три области информационных отношений:

• формирование и использование различных информационных ресурсов;
• создание и использование информационных технологий и средств их обеспечения;
• защиту информации, прав субъектов, участвующих в информационных процессах и информатизации.

Данный Закон оказал значительное воздействие на весь нормативный массив, который образовался после его принятия, в том числе и прямо не затрагивающий регулирование специфически информационных отношений.

Закон «Об информации» 1995 г. сделал еще один существенный шаг вперед в регулировании информационных отношений, закрепив на законодательном уровне возможность использования электронной цифровой подписи, чем был задан старт развитию в нашей стране электронной торговли и юридически значимого электронного документооборота в целом как более прогрессивного в сравнении с традиционным бумажным документооборотом способа обмена документированной информацией^[3].

В связи с указанным, А.Б. Ткачев полагает следующее: В отличие от других законодательных актов, устанавливающих правовой режим электронных документов, в Законе был выбран особый путь правового регулирования: правовая легализация электронной цифровой подписи и подписанного ей электронного документа происходит через распространение на нее юридического режима одного из традиционных реквизитов – собственноручной подписи человека. Ранее российское законодательство избегало такого прямого сопоставления. В ряде законодательных актов об электронной цифровой подписи упоминалось как об аналоге собственноручной подписи физического лица».

Совершенствуя законодательное обеспечение информации в стране, был издан федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006.

Статья 16 данного ФЗ целиком посвящена вопросам защиты информации. Процитируем ее полностью.

Сегодня под защитой информации, согласно нормам законодательства понимается принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации^[4].

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации;
• предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• постоянный контроль за обеспечением уровня защищенности информации^[5].

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

В процитированной статье Закона фигурируют все три основных аспекта информационной безопасности: доступность, целостность и конфиденциальность. Кроме того, обязательным является отслеживание нарушений безопасности и постоянный контроль за обеспечением уровня защищенности информации.

1.3. Способы защиты информации

Информационная безопасность на предприятии представляет собой комплекс мер по защите и поддержанию системы, обеспечивающей защиту информационных данных от различных воздействий естественного или искусственного характера, которые, впоследствии, могут нанести ущерб всей информационной системе организации^[6].

А разнообразные организационные и технические меры, направленные на обеспечение безопасности всех видов данных, являются системой защиты информации предприятия. Угроз же, связанных с информационной безопасностью данных каждой компании, может быть много, например: сбои в работе технических средств, мошенничество, небрежность сотрудников, подлог или хищение, искажение информации предприятия. Существуют как внешние источники угроз (люди, не принадлежащие к организации), так и внутренние (персонал фирмы). Мошенники могут препятствовать пересылке сообщений, менять содержимое передаваемых сообщений, получать доступ к информации организации путём шантажа сотрудников, так же может осуществляться подсоединение к компьютерной сети компании.

Различные вредоносные программы – основные средства атаки злоумышленников. К ним могут относиться вирусы, троянские черви, ложные архиваторы, ускорители обмена данных и другие программы. Вирусное программное обеспечение развивается достаточно быстро. Каждое предприятие должно уделять большое внимание защите данных путём совершенствования своей внутренней информационной системы безопасности. Только так организация сможет уберечь свою электронную информацию от внешних и внутренних угроз, атак со стороны Интернет-сервисов, а так же от хищения или искажения конфиденциальной информации. На рисунке 2 изображена статистическая информация по каналам утечки информации из предприятия.

Рисунок 2 – Каналы утечки информации^[7]

Каждое предприятие является достаточно сложной и уникальной структурой, которая постоянно требует информационную защиту, разработку концепции защиты организации и поиск услуг по обеспечению безопасности. Всё это происходит с учётом особенностей и специфики фирмы. Однако грамотная и профессиональная защита будет обеспечена только посредством комплексного подхода, который включает в себя пошаговую методологическую работу. Каждая система безопасности предприятия, прежде всего, обеспечивается корректной работой таких подразделений как^[8]:

1. «Компьютерная безопасность», работа которого основана на принятии технологических и административных мер, обеспечивающих корректное и качественное выполнение всех аппаратных компьютерных систем, что позволяет создать единый, целостный, доступный и конфиденциальный ресурс.

2. «Безопасность данных» - подразделение, осуществляемое защиту информации предприятия от халатных, случайных, неавторизированных или умышленных разглашений данных или взлома системы.

3. «Безопасное программное обеспечение» - подразделение, включающее в себя комплекс прикладных и общецелевых программных средств, направленных на обеспечение безопасной работы всех систем и безопасную обработку данных.

4. «Безопасность коммуникаций» обеспечивает аутентификацию систем телекоммуникаций, предотвращающих доступность информации неавторизированным лицам, которая может быть выдана на телекоммуникационный запрос.

Во всех методах разработки системы информационной безопасности организации можно выделить самые основные принципы работы:

• предприятие должно провести анализ и оценку текущего состояния безопасности, а также составить план предполагаемых мероприятий по обеспечению защиты данных в своей организации;
• необходимо разработать эффективное программное обеспечение, подготовить документацию к разрабатываемому ПО, смоделировать систему управления информационной безопасностью;
• организации необходимо грамотно организовать управление информационной безопасностью;
• реализовать политику безопасности на предприятии, обеспечить организацию всем необходимым оборудованием и программным обеспечением, реализующим информационную безопасность, организовать создание целостной структуры службы безопасности, а также обучить весь персонал предприятия;
• организация должна грамотно осуществлять контроль, своевременное обновление программ, обеспечивающих безопасность данных, также следить и эффективно решать поставленные задачи, регулярно анализировать эффективность и давать объективную оценку работы системы безопасности.

Не менее важным шагом является обучение персонала методам защиты информации, которое заключается в доведении до сведения сотрудников, имеющих доступ к конфиденциальной информации предприятия, определенных правил и инструкций: по обеспечению неразглашения конфиденциальных сведений, по обращению с документами, содержащими такие сведения, по прогнозированию действий конкурентов, по противодействию вербовочным подходам со стороны конкурентов и правоохранительных структур. Защита интеллектуальной собственности также является очень важным элементом безопасности информации. С носителями таких сведений или обладателями авторских прав проводятся отдельные занятия. Остальным разъясняются понятие служебной информации и их права на результаты интеллектуальной деятельности^[9].

И предприятиям необходимо непрерывно работать над повышением эффективности защиты своей информации, а также заниматься разработкой более совершенных программ шифрования и блокировки утечки. Каждая организация должна стремиться применять только качественное и высокотехнологичное оборудование, разрабатывать улучшенные и более эффективные системы безопасности, грамотно обучать персонал своей предприятия и организовать систему контроля. Всё это в дальнейшем будет способствовать безопасной работе организации с минимальным риском нарушения целостности данных и сохранения их конфиденциальности. И это, в свою очередь, гарантирует высокую производительность работы фирмы и плодотворное ведение бизнеса.

Глава 2. Практические аспекты системы защиты информации на предприятии

2.1. Комплексная система защиты информации на предприятии

Развитие в обществе рыночных отношений сопровождается нарастанием конкуренции между производителями товаров и услуг. Желание преуспеть быстрее соперников приводит к стремлению заполучить как можно больше конфиденциальной информации о применяемых ими технологиях, причем для добывания информации используются различные методы, затрагивающие сферу информационной безопасности.

Разработка системы защиты информации на предприятии (СЗИ) является ключевой задачей системы обеспечения информационной безопасности организации. Однако существующие модели СЗИ в недостаточной мере четко и ясно формируют представление о ее структуре, составе и содержании, что создает серьезную проблематику обеспечения информационной безопасности на предприятии. В связи с этим в целях повышения эффективности обеспечения информационной безопасности организации очевидна постановка задачи о разработке модели системы защиты информации на предприятии. В общем случае система зашиты информации определяется как совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. Это позволяет представить концепт модели СЗИ (рис . 1).

Рисунок 3 –Модель системы защиты информации

Содержательная основа составляющей «Органы» включает в себя государственные организации взаимодействующие с предприятием органов по аттестации объектов информатизации (ОИ) и аудиторских фирм, головной организацией предприятия. В качестве составляющей «Исполнители» представляется руководителями предприятия и службой информационной безопасности организации.

«Техника защиты информации» определяется как средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

Комплексная СЗИ предприятия представляет собой совокупность методов и средств, имеющих перед собой такую важную цель, как обеспечение необходимой эффективной защиты информации (ЗИ) на предприятии. Защищаемыми объектами информатизации являются:

• средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;
• технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
• защищаемые помещения. Так же КСЗИ направлено на:
• защиту легитимных интересов предприятия от незаконных посягательств;
• обеспечение безопасности жизни и здоровья персонала;
• недопущение хищения или(и) уничтожения финансовых или материальных ценностей, разглашения утечки и несанкционированного доступа (НСД) к служебной информации, нарушения работы технических средств, обеспечение производственной деятельности, включая производственные технологии^[10].

Для достижения целей обеспечения защиты информации на предприятии необходимо решить следующие задачи:

• создание вертикально интегрированной системы обеспечения защиты информации, включая организационные, программные, аппаратные и физические меры;
• координация действий структурных подразделений предприятия в области обеспечения защиты информации;
• поддержание системы обеспечения защиты информации в состоянии, устойчивом к реализации потенциальных угроз;
• прогнозирование, обнаружение и анализ источников угроз информационной безопасности;
• разработка и внедрение в информационную структуру предприятия современных методов и средств обеспечения защиты информации;
• организация контроля состояния и анализ эффективности системы обеспечения защиты информации и реализация мер по ее совершенствованию;
• подбор кадров для работы в области защиты информации.

Проведение комплекса мероприятий по обеспечению защиты информации на предприятии возложено на отдел корпоративной защиты, который обеспечивает контроль над структурными подразделениями в области соблюдения утвержденной политики безопасности и исполнения инструкций по защите информации. В частности в области организации защиты информации в локальной вычислительной сети предприятия осуществляется взаимодействие с отделом автоматизированных систем управления.

Осознание необходимости разработки стратегических подходов к защите формировалось по мере осознания важности, многоаспектности и трудности защиты и невозможности эффективного ее осуществления простым использованием некоторого набора средств защиты.

Под стратегией вообще понимается общая направленность в организации соответствующей деятельности, разрабатываемая с учетом объективных потребностей в данном виде деятельности, потенциально возможных условий ее осуществления и возможностей организации.

Известный канадский специалист в области стратегического управления Г. Минцберг предложил определение стратегии в рамках системы «5-Р». По его мнению, она включает:

1) план (Plan) — заранее намеченные в деталях и контролируемые действия на определенный срок, преследующие конкретные цели;

2) прием, или тактический ход (Ploy), представляющий собой кратковременную стратегию, имеющую ограниченные цели, могущую меняться, маневр с целью обыграть противника;

3) модель поведения (Patten of behaviour) — часто спонтанного, неосознанного, не имеющего конкретных целей;

4) позицию по отношению к другим (Position in respect to others);

5) перспективу (Perspective).

Задача стратегии состоит в создании конкурентного преимущества, устранении негативного эффекта нестабильности окружающей среды, обеспечении доходности, уравновешении внешних требований и внутренних возможностей. Через ее призму рассматриваются все деловые ситуации, с которыми организация сталкивается в повседневной жизни.

Способность компании проводить самостоятельную стратегию во всех областях делает ее более гибкой, устойчивой, позволяет адаптироваться к требованиям времени и обстоятельствам. Стратегия формируется под воздействием внутренней и внешней среды, постоянно развивается, ибо всегда возникает что-то новое, на что нужно реагировать.

2.2. Защита информации на фармацевтическом предприятии

В данное время крупные ведущие фармацевтические компании тратят колоссальные деньги на информационные технологии, которые позволяют не только сократить затраты на планирование и управление всеми потоками информации о сырье, материалах, продуктах, услугах, обработку транзакций, но и удержание и укрепление своих позиций на мировом рынке, так как компании, которые по каким-либо причинам не смогли отреагировали на требования рынка, в дальнейшем могут столкнуться с проблемой снижения конкурентоспособности и привлекательности своих акций. Современные информационные технологии, способствующие развитию фармацевтического бизнеса, являются:

1) Электронный документооборот, который позволит автоматизировать этапы жизненного цикла документов от оформления до архивирования. Достоинствами электронного документооборота являются: уменьшение расходов, затрачиваемых на расходные материалы, таких как: оплата служб почтовой и курьерской доставки, ксерокопирование материалов, уменьшение трудозатрат; все отделы и структуры компании работают в одном информационном пространстве; сохранность и безопасность документов, так как используется шифрование данных и электронные подписи, которые уменьшают возможность которое умен попытки создания утечки информации. При использовании такого типа документооборота, возрастает производительность сотрудников и снижается вероятность ошибок в обработке документов, которая зависит от квалификации работника. Внедрение системы электронного документооборота дает значительный экономический эффект, однако количественная его оценка является сложным процессом, т. к. приходится учитывать множество факторов.

2) Управление технологией производства, для увеличения производительности за счет автоматических и полуавтоматических линий по производству продукции, контроль качества продукции, уменьшение технологических ошибок, связанных с человеческим фактором.

3) Автоматизация учета и планирования и система принятия решений. В наши дни важное значение имеет процесс планирования коммерческой деятельности предприятия. Для облегчения процесса планирования, разрабатываются системы принятия решений, облегчающие управленческому персоналу принимать стратегические решения. Работа систем принятия решений основана на графическом представлении текущих и прогнозируемых экономических показателей работы предприятия. Менеджер может изменять некоторые параметры и наглядно видеть изменения показателей работы предприятия в целом, что облегчает вынесение решения о каких-либо нововведениях^[11].

ООО «РОСБИО» представляет собой фармацевтическое производство, расположенное в г. Санкт-Петербурге, но при этом представляющее собой группу компаний, расположенных в разных городах страны и ведущее деятельность в сфере разработки новых высокотехнологических инновационных технологий получения отечественных лекарственных препаратов и альтернативного биотоплива. На предприятии проводится разработка научных основ функционирования и создание, действующих образцов ферментаторов нового поколения на стадии ферментации, не имеющее аналогов в России и за рубежом^[12]. Именно поэтому, защита информации для данного предприятия выступает основой его дальнейшего эффективного развития.

В ООО «РОСБИО» общедоступная информация представлена на сайте компании или может быть предоставлена менеджерами кампании. К такой информации относится:

• сведения, содержащиеся в уставе организации;
• финансовая отчетность;
• информация о выпускаемой продукции, ее стоимости и сертификаты о происхождении фармацевтических товаров;
• состав руководства и т.д.;
• информация о наградах и тендерах кампании;
• информация о вакансиях;
• контактные данные менеджеров кампании и т.д.

К коммерческой тайне в ООО «РОСБИО» относится следующая информация:

• Информация о личности работников, домашних адресов.
• Информация о клиентах, их контактные и личные данные.
• Информация о проектах, сроках и условиях договоров.
• Информация о фармацевтических разработках.

К информационным ресурсам фирмы относится документы и акты на бумажных носителях, локальная вычислительная сеть.

Предприятие ООО «РОСБИО» может быть подвержено таким информационным угрозам, таким как:

• Взлому баз данных или несанкционированное использование коммерческой информации в целях передачи данных конкурентам предприятия, что может негативным образом отразиться на деятельности предприятия и в крайнем случае привести к его разорению, ликвидации.
• Разглашение сотрудниками конфиденциальной информации, использование ее в корыстных целях для получения прибыли, т. к. многие служащие имеют доступ к базе данных о ведущихся на предприятии фармацевтических разработках.
• Сотрудники предприятия могут умышленно или случайно повлиять на распространение информации, например по электронной почте и по другим цифровым средствам связи, что негативно может сказаться на репутации предприятия, поскольку они имеют доступ к сведениям организации.
• Одной из самых распространенных угроз информационной безопасности являются сбои и отказы программного обеспечения, технических средств фирмы, поскольку оборудование зачастую даже самое новое дает сбои, также предприятию могут поставить технически некачественное оборудование.
• На ООО  «РОСБИО» может возникнуть ситуация несанкционированного физического доступа к техническим средствам, являющимися источникам информации, также кража носителя с важной информацией (флеш накопитель, внешний жесткий диск и т.д.) или только данных. По сути, это хищение интеллектуальной собственности через сеть или физическое хищение носителей.
• Одной из немало важных информационных угроз являются ошибки персонала организации. Упущения в работе менеджеров, недобросовестное выполнение своих обязанностей консультантами может привести к нарушению целостности информации, а также могут возникнуть конфликтные ситуации с клиентами.
• К угрозам программного обеспечения можно отнести различное вредоносное программное обеспечение, потеря паролей, а также отсутствие системы резервного копирования^[13].

Подчеркнем, что наиболее высокую ценность для предприятия несут именно научные исследования и разработки, проводящиеся в области производства лекарственных средств, препаратов. Большую опасность представляет собой процесс передачи информации. Поскольку, основное предприятие, расположено в Санкт-Петербурге, а сеть филиалов расположена в других городах, то информация, представляющая собой особую важность и относящаяся к категории коммерческой тайны, должна передаваться по защищенным каналам связи.

Для устранения выявленных недостатков в системе информационной безопасности ООО «РОСБИО» предлагается ввести следующие меры:

На уровне законодательства предприятия необходимо создать меры по обеспечению информационной безопасности. Необходимо ввести меры административного уровня в политике безопасности группы компаний. На административном уровне предлагается:

• Создать ряд инструкций по информационной безопасности внутри фирмы для отдельных категорий работников (изменить и хранить пароли в недоступных местах, запретить посещение сторонних ресурсов и т.д.).
• Предусмотреть ряд мотивационных мероприятий для заинтересованности сотрудников в соблюдении политики безопасности, а так же наказания за грубое нарушение политики безопасности фирмы. (премии и штрафы)

Для совершенствования системы безопасности на процедурном уровне предлагается следующий ряд мер:

• Ограничить доступ посторонних людей в некоторые отделы фирмы.
• Провести ряд консультационных мероприятий с сотрудниками организации по вопросам информационной безопасности и инструкциям по соблюдению политики безопасности.

На программно-аппаратном уровне предлагается ввести следующие меры:

• Обязать всех сотрудников использовать пароли для доступа к базе данных и личным компьютерам, чтобы предотвратить доступ к ценной информации сотрудников, которые не имеют допуска к информации, представляющей особую ценность.
• Отдельно подчеркнем, что пароли должны иметь необходимый уровень сложности.
• Ввести ограничения на передаваемые через открытую сеть Интернет форматы и размеры файлов отдельным сотрудникам.
• Не допускать распространения информации, подрывающей репутацию организации^[14].

Таким образом, мы определились с изменениями в существующей системе информационной безопасности ООО «РОСБИО». Среди этих изменений ключевым является работа с персоналом, поскольку какие бы совершенные программные средства защиты информации не внедрялись, тем не менее, всю работу с ними осуществляет персонал и основные сбои в системе безопасности организации вызываются, как правило, персоналом. Правильно мотивированный персонал, нацеленный на результат деятельности – это уже половина того, что необходимо для эффективной деятельности любой системы.

Заключение

Подводя итог, следует отметить, что информационная безопасность на предприятии представляет собой комплекс мер по защите и поддержанию системы, обеспечивающей защиту информационных данных от различных воздействий естественного или искусственного характера, которые, впоследствии, могут нанести ущерб всей информационной системе организации.

При создании или совершенствовании системы защиты информации, нужно учитывать способы возникновения, форму и природу возможных угроз. Они являются следствием ситуаций, в которых проявляются слабые стороны организации. Чтобы выявить все угрозы, необходимо провести анализ за все время ведения бизнеса и изучить результаты, которые позволят обнаружить некоторые слабости и недоработки, способные создать негативную ситуацию. Самым обязательным пунктом при этом анализе является ведение журнала всех произошедших событий и переоценка рисков. Тогда можно достаточно точно определить угрозу, на которую следует обратить больше внимания.

Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ выступает сегодня основным нормативно-правовым документом, регламентирующим особенности защиты информации в стране. Помимо этого на предприятии должны быть созданы собственные нормативные документы, включающие особенности осуществления защиты информации на конкретном предприятии.

Угроз же, связанных с информационной безопасностью данных каждой компании, может быть много, например: сбои в работе технических средств, мошенничество, небрежность сотрудников, подлог или хищение, искажение информации предприятия. Существуют как внешние источники угроз (люди, не принадлежащие к организации), так и внутренние (персонал фирмы).

Разработка системы защиты информации на предприятии (СЗИ) является ключевой задачей системы обеспечения информационной безопасности организации.

В заключительной главе нами был проведен анализ информационной безопасности на фармацевтическом предприятии ООО «РУСБИО», которое является одним из крупнейших фармацевтических предприятий страны, ведущее деятельность в сфере разработки новых высокотехнологических инновационных технологий получения отечественных лекарственных препаратов и альтернативного биотоплива. Отметим, что предприятие проводит научные исследования и создание фармацевтической продукции, не имеющей аналогов в России и за рубежом. Именно поэтому информационная безопасность выступает одним из ключевых направлений деятельности предприятия ООО «РУСБИО».

В работе были определены основные возможности и каналы утечки конфиденциальной информации и определены основные пути совершенствования системы защиты информации на предприятии ООО «РОСБИО».

Список использованной литературы

1. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (в ред. от. 23.04.2018).
2. Внуков, А. А. Защита информации: учебное пособие для бакалавриата и магистратуры / А. А. Внуков. — 2-е изд., испр. и доп. — М.: Издательство Юрайт, 2018. — 261 с.
3. Жук, А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2013. - 392 c.
4. Малюк, А.А. Защита информации в информационном обществе: Учебное пособие для вузов / А.А. Малюк. - М.: ГЛТ, 2015. - 230 c.
5. Нестеров, С. А. Информационная безопасность: учебник и практикум для академического бакалавриата / С. А. Нестеров. — М.: Издательство Юрайт, 2018. — 321 с.
6. Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2014. - 702 c.
7. Щеглов, А. Ю. Защита информации: основы теории: учебник для бакалавриата и магистратуры / А. Ю. Щеглов, К. А. Щеглов. — М.: Издательство Юрайт, 2018. — 309 с.
8. Ахметова Н.О. Основные методы защиты информации на предприятиях // В сборнике: Актуальные вопросы в научной работе и образовательной деятельности сборник научных трудов по материалам Международной научно-практической конференции: в 10 томах. 2015. С. 9-11.
9. Барышникова И.А. О некоторых проблемах защиты конфиденциальной информации на предприятии // В книге: Конкурентоспособность территорий Материалы XIX Всероссийского экономического форума молодых ученых и студентов: в 8 частях. 2016. С. 56-59.
10. Сысюк В.Р. Защита информации на предприятии от внешних угроз // В сборнике: Системы управления, технические системы: устойчивость, стабилизация, пути и методы исследования материалы молодежной секции в рамках Третьей Международной научно-практической конференции. 2017. С. 139-144.
11. Кузнецов Д.А., Коржавых Э.А., Мошкова Л.В. Информационная безопасность фармацевтической организации: подходы к оценке и противодействию угрозам // Вестник новых медицинских технологий. № 3, 2012, с. 183-187.
12. Кулакова М. В. Роль информационно-аналитического обеспечения в управлении бизнесом фармацевтической компании // Молодой ученый. 2017. №22. С. 275-277.
13. Лонцих Н.П., Кунаков Е. Работа с персоналом в рамках системы защиты информации на предприятии // Молодежный вестник ИрГТУ. 2016. № 1. С. 18.
14. Луппол Е.М., Лебедев Н.О. Способы защиты информации на предприятии // В сборнике: Экономическая наука в 21 веке: вопросы теории и практики сборник материалов 9-ой международной научно-практической конференции. 2015. С. 18-22.
15. Мельникова А.А., Михайличенко Ж.В. Современная организация системы защиты информации на предприятии // В сборнике: Перспективы развития науки и образования Сборник научных трудов по материалам XXIII международной научно-практической конференции. Под общей редакцией А.В. Туголукова. 2017. С. 290-293.
16. Петровский М.В., Данилов М.И. Основные методы и средства, используемые для организации защиты информации на предприятии // В сборнике: Достижения вузовской науки сборник материалов XXVIII Международной научно-практической конференции. 2017. С. 124-128.
17. Преображенский Ю.П. О возможности защиты информации на предприятиях // В сборнике: Современные материалы, техника и технология Сборник научных статей 7-й международной научно-практической конференции. Ответственный редактор А.А. Горохов. 2017. С. 294-298.
18. Пшукова Д.А., Ахматова Л.А. Организация защиты информации на предприятии // Аллея науки. 2017. Т. 3. № 16. С. 632-635.
19. Решетников В.Н., Шимохин В.Г., Дробот В.А., Асланян И.В. Комплексная система защиты информации на предприятии // Проблемы и перспективы современной науки. 2016. № 14. С. 18-23.
20. Трещев И.А. Защита от несанкционированного доступа к информации на предприятии // Мир науки. 2014. № 3. С. 43.
21. Трунова А. А. Анализ каналов утечки конфиденциальной информации в информационных системах предприятий // Молодой ученый. 2016. №3. С. 69-72.
22. Хлыстова Д.А., Попов К.Г. Направления повышения эффективности защиты информации на российских предприятиях в современных условиях // Символ науки. 2016. № 7-2 (19). С. 97-99.
23. Официальный сайт предприятия ООО «РОСБИО». Электронный доступ: http://www.rosbio.ru (дата обращения: 26.06.2018).

1. Сысюк В.Р. Защита информации на предприятии от внешних угроз // В сборнике: Системы управления, технические системы: устойчивость, стабилизация, пути и методы исследования материалы молодежной секции в рамках Третьей Международной научно-практической конференции. 2017. С. 139-144. ↑

2. Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. - М.: ДМК, 2014. - 702 c. ↑

3. Жук, А.П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. - М.: ИЦ РИОР, НИЦ ИНФРА-М, 2013. - 392 c. ↑

4. Внуков, А. А. Защита информации: учебное пособие для бакалавриата и магистратуры / А. А. Внуков. — 2-е изд., испр. и доп. — М.: Издательство Юрайт, 2018. — 261 с. ↑

5. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ (в ред. от. 23.04.2018). ↑

6. Внуков, А. А. Защита информации: учебное пособие для бакалавриата и магистратуры / А. А. Внуков. — 2-е изд., испр. и доп. — М.: Издательство Юрайт, 2018. — 261 с. ↑

7. Трунова А. А. Анализ каналов утечки конфиденциальной информации в информационных системах предприятий // Молодой ученый. 2016. №3. С. 69-72. ↑

8. Пшукова Д.А., Ахматова Л.А. Организация защиты информации на предприятии // Аллея науки. 2017. Т. 3. № 16. С. 632-635. ↑

9. Лонцих Н.П., Кунаков Е. Работа с персоналом в рамках системы защиты информации на предприятии // Молодежный вестник ИрГТУ. 2016. № 1. С. 18. ↑

10. Решетников В.Н., Шимохин В.Г., Дробот В.А., Асланян И.В. Комплексная система защиты информации на предприятии // Проблемы и перспективы современной науки. 2016. № 14. С. 18-23. ↑

11. Кулакова М. В. Роль информационно-аналитического обеспечения в управлении бизнесом фармацевтической компании // Молодой ученый. 2017. №22. С. 275-277. ↑

12. Официальный сайт предприятия ООО «РОСБИО». Электронный доступ: http://www.rosbio.ru (дата обращения: 26.06.2018). ↑

13. Кузнецов Д.А., Коржавых Э.А., Мошкова Л.В. Информационная безопасность фармацевтической организации: подходы к оценке и противодействию угрозам // Вестник новых медицинских технологий. № 3, 2012, с. 183-187. ↑

14. Хлыстова Д.А., Попов К.Г. Направления повышения эффективности защиты информации на российских предприятиях в современных условиях // Символ науки. 2016. № 7-2 (19). С. 97-99. ↑