Лабораторная работа по дисциплине: Информационная безопасность Лабораторная работа №1 Тема: Информационная система безопасности предприятие ЗАО ПК Технотрон (взлом), нападения. Выполнила: студентка II курса, 122 группы Сафина Альфия Ульфатовна E-mail: Svetochek7-7@mail.ru Проверил: Конюхов Михаил Иванович. E-mail: kai_kgtu@rambler.ru Оглавление Введение Глава 1 Анализ системы информационной безопасности на предприятии 1.1 Характеристика предприятия 1.2 Организационная структура предприятия 1.3 Служба по вопросам защиты информации 1.4 Анализ и характеристика информационных ресурсов предприятия 1.5 Угрозы информационной безопасности характерные для предприятия 1.6 Методы и средства защиты информации на предприятии Глава 2 Совершенствование СИБ 2.1 Недостатки в системе защиты информации 2.2 Цель и задачи системы информационной безопасности 2.3 Мероприятия и средства по совершенствованию системы информационной безопасности 2.4 Эффективность предложенных мероприятий Глава 3 Модель информационной системы с позиции безопасности 3.1. Краткая информация о компании 3.2. План предприятия 3.3. Средства взлома Заключение Список использованной литературы Глава 1 Анализ системы информационной безопасности на предприятии 1.1 Характеристика предприятия Компания «Технотрон» входит в состав производственного холдинга «Татэлектромаш». ЗАО ПК «Технотрон» крупнейший производитель изделий из пластмасс в Татарстане. Участник многих специализированных выставок, призер международных конкурсов в области технологии и качества. ЗАО ПК “Технотрон” специализируется на разработке и внедрении в производство новых разработок в сфере автомобилестроения и изделий из различных видов пластика и полиамидов. Продукция компании уже известна далеко за пределами республики Татарстан. Опытные специалисты, собственное НТЦ и конструкторское бюро позволяют разработать качественные запасные части и изделия интерьера/экстерьера, литьевые и выдувные пластмассовые изделия к грузовым и легковым автомобилям, довести процесс прохождения разработки от идеи до серийного изготовления детали до 3-6 месяцев. Новые разработки проходят испытания в НТЦ ОАО “КАМАЗ” Направления деятельности ЗАО ПК "Технотрон”: 1. производство и продажа запчастей а/м “КАМАЗ “: o воздухоочистители мультициклонные o воздухозаборники o воздухопроводы o крыльчатки вентилятора o тягово-сцепные устройства o муфты электромагнитные o резино-технические изделия 2. изготовление изделий из пластмасс (методом литья пластмасс под давлением и выдувного формирования) 3. производство изделий бытового назначения 4. полный спектр услуг по механической обработке металла. Политика качества. 2006 год стал знаменательным для производителя пластмассовых и резиновых изделий «Технотрон». Именно в том году компания получила сертификат соответствия системы управления качеством выпускаемых товаров требованиям, утверждённым международным стандартом ISO 9001:2000. Сфера одобрения данного сертификата охватывает разработку, изготовление и реализацию пластмассовых и резинотехнических изделий, а также комплектующих деталей и узлов для автомобильной промышленности. Руководство компании разработало, документально оформило, внедрило в действие и постоянно поддерживает в рабочем состоянии СМК (систему менеджмента качества). Восемь принципов управлениякачеством, установленные государственным стандартом ГОСТ Р ИСО 9000-2001, приняты компанией и применяются в процессе предпринимательской деятельности, как руководство для самосовершенствования. В 2010 году ЗАО «Технотрон» был выдан сертификат соответствия требованиям, установленным другим международным стандартом - ISO/TS 16949:2009. По уровню используемых методов и навыков персонала по внедрению требования данного стандарта значительно превосходят требования предыдущего - ISO 9001:2000. Стоит отметить, что главными потребителями продукции ЗАО ПК «Технотрон» выступают предприятия автомобильной промышленности, а соответствие стандарту ISO/TS 16949:2009 на сегодняшний день является необходимым условием для заключения с ними контрактов на сотрудничество. Качество продукции компании «Технотрон» известно уже далеко за пределами Татарстана, ведь именно постоянный контроль над качеством производимых товаров обеспечивает ей партнёрство со всемирно известными производителями автомобилей ОАО «КЗ Ростсельмаш», ОАО "КамАЗ" и прочими. В настоящее время приоритетное направление предприятия — сотрудничество с автомобильными компаниями. Опытные специалисты, высокотехнологичное современное производство, гибкая ценовая политика позволяют компании исполнять заказы в короткие сроки, обеспечить неизменно высокое качество продукции и ее доступную стоимость. Партнеры: ДЗИЛ ОАО "КамАЗ" ОАО "Камаз-Дизель" ООО "Склад ТФК "КамАЗ" ООО "Комбайновый завод Ростсельмаш" ООО "Набережно Челнинский Автоцентр "КамАЗ" ФГУП "Усть-Катавский вагоностроительный завод" Трамвайные управления ООО ПКФ "Элтехснаб" ООО ТД "ТЭМ" НПО "Татэлектромаш" ОАО "Риат" ООО "Камский моторный завод" ЗАО НКХ "Север" ООО "Упаковка" ООО "Поликомстрой" ООО ПК "Агромастер" ООО "Агроинвест" ООО "Тимер" ООО СПП "Правда" ЗАО "Красногорский автоцентр КамАЗ" ООО "Детали машин" ИП "Гудь" Рис. Географическое расположение объекта Юридический адрес: 423800, РФ, РТ, г. Набережные Челны, Промышленнокоммунальная зона промзона, ул. Моторная, 38 Почтовый адрес: 423814, РФ, РТ, г. Набережные Челны, а/я 13 Телефоны: Приемная: (8552) 20-20-51 Отдел продаж ЗАО ПК "Технотрон" : тел/факс: (8552) 20-20-50, 20-20-71 Отдел снабжения ЗАО ПК "Технотрон" : (8552) 20-20-77 E-mail: market-tehnotron@mail.ru - отдел продаж автокомпонентов и пластиковой тары 20-20-71@mail.ru или sht@tehnotron.ru - реализация сельхозтехники и автовозов 1.2 Организационная структура предприятия Организационная структура ЗАО ПК Технотрон сформированная с целью обеспечения достижения целей Общества, построена по линейно- функциональному признаку. Предприятие осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации и Уставом предприятия. ЗАО ПК "Технотрон" было образовано в январе 2003 г. в составе группы предприятий управляющей компании ООО "Технопарк-Татэлектромаш". Административный корпус Цех механической обработки ЗАО Производственная компания "Технотрон" специализируется на разработке и внедрении в производство новых разработок в сфере автомобилестроения и изделий из различных видов пластика и полиамидов. Несмотря на то, что ЗАО ПК "Технотрон" сравнительно молодая фирма, продукция уже известна далеко за пределами Республики Татарстан. Цех пресс-форм Цех пресс-форм В компании работают высококвалифицированные специалисты, иметься собственное НТЦ и конструкторское бюро, что позволяет разработать качественные запасные части, изделия интерьера и экстерьера, литьевые и выдувные пластмассовые изделия к грузовым и легковым автомобилям, довести процесс прохождения разработки от идеи до серийного изготовления детали до 3-6 месяцев. Новые разработки проходят испытание в Научно-техническом центре ОАО "КАМАЗ". Жесткий контроль качества выпускаемой продукции позволил войти в состав постоянных партнеров ОАО "КАМАЗ", ОАО "КЗ Ростсельмаш", ФГУП "УКВЗ им. Кирова" и др. Система качества предприятия в сертифицирована согласно требованиям международной системы качества ISO9001-2001 (ГОСТ ИСО 9001-96). Основными направлениями деятельности ЗАО ПК "Технотрон" являются: 1. Изготовление высококачественных пресс-форм для литья пластмассовых и резинотехнических изделий 2. Изготовление изделий из термореактивных композиций (реактопластов): фено - и аминопласты, пресс - материалы на полиэфирных и эпоксидных связующих, в т.ч. стеклонаполненных (ПА6, ПА66, ПА610, Армамид, гроднамид и т.д.) с максимальными габаритами до 1000 мм и площадью в плане 50 кв. дм весом до 100 кг, а так же любые армированные пластмассовые изделия, например: Крыльчатка вентилятора с мах. диаметром 1018±2 мм., для предприятий автомобильной, тракторной, компрессорной промышленности в комплекте с различными видами электромагнитных муфт Мультициклонный воздухоочиститель МВ 21-025, различные виды воздухозаборников для грузовых автомобилей (а\м КАМАЗ, МАЗ, УРАЛ), панель приборов и полка надоконная для а\м КАМАЗ Тара для пищевых продукции с объемом от 0,160 до 1,3л 3. Изготовление изделий из масло-бензо-кислотно-щелоче-морозо-стойких резин, работающих в различных климатических условиях и средах (воздух, вода, кислоты, щелочи, масла, топлива и др.) и в температурном интервале работоспособности от 60°С до +250°С максимальными габаритами до 1000 мм и площадью в плане 50 кв. дм весом до 100 кг, а так же любые резинометаллические изделия, например: o Ремонтный комплект из силиконовых резиновых смесей на двигатель автомобиля КАМАЗ; o Резинотехнические изделия в номенклатуре для уплотнения тракта к воздушному фильтру системы питания автомобиля "КАМАЗ" различных модификаций. 4. Изготовление изделий из термореактивных композиций (реактопластов): фено - и аминопласты, пресс - материалы на полиэфирных и эпоксидных связующих, в т.ч. стеклонаполненных с максимальными габаритами до 1000 мм и площадью в плане 50 кв. дм весом до 100 кг, а так же любые армированные пластмассовые изделия: o Комплектующие изделия из стеклонаполненных композиционных термореактивных материалов на основе модифицированной фенолформальдегидной смолы (ДСВ-4О, АГ-4С, АГ-4В и др.) для двигателей постоянного тока для горэлектротранспорта и БелАЗа. 5. Изготовление сложных автомобильных узлов из черных и цветных металлов на гибких производственных модулях (обрабатывающих центрах) с наибольшей массой обрабатываемой детали до 1600 кг, с минимальными габаритами обрабатываемой детали 100х100х150 мм и максимальными габаритами обрабатываемой детали 700х700х630, к примеру: Беззазорного тягово-сцепного устройство класса Евро для грузовых автомобилей с полной загрузочной массой 33 т. и прицепом грузоподъемностью до 22 т. Контактная информация: Генеральный директор: Хрипун Сергей Григорьевич Первый заместитель директора: Фахриев Рустам Гизтдинович, телефон (8552) 20-20-51 Приемная - секретарь: Кузьмина Зоя Дмитриевна, телефон (8552) 20-20-48 E-mail: tehnotron@mail.ru Коммерческий директор: Бузальский Виктор Зигмундович,(8552) 20-20-73 Директор по продажам: Денежко Александр Иванович, телефон (8552) 20-20-50 Отдел маркетинга и продаж: телефон (8552) 20-20-50 E-mail: market-tehnotron@mail.ru Главный конструктор: Гатиатуллин Радик Азгарович, телефон (8552) 20-20-95 Главный технолог: Ахмадеева Раиса Робановна, телефон (8552) 20-20-13 E-mail: ntc_tehnotron@mail.ru С более подробной информацией Вы можете ознакомиться на нашем сайте www.pktehnotron.ru 1.3 Служба по вопросам защиты информации защинКонкретная служба по защите информации на предприятии отсутствует. Поэтому ответственность за защищаемую информацию несет специалист по управлению персоналом. Данная документация обрабатываются путем строгого контроля изъятия и возвращения документов под расписку уполномоченного работника. За информацию, относящуюся к коммерческой тайне, несут ответственность следующие служащие предприятия: начальники, бухгалтера, экономисты, инженеры. 1.4 Анализ и характеристика информационных ресурсов предприятия Исследуемое предприятие содержит следующие информационные ресурсы: информация, относящаяся к коммерческой тайне: · заработная плата, · договоры с поставщиками и покупателями, · технологии производства; защищаемая информация: · личные дела работников, · трудовые договора, · личные карты работников, · содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности, · прочие разработки и документы для внутреннего пользования; открытая информация: · буклеты, · информация на web-сайте www.ashatli-agro.ru, · учредительный документ, · устав, · прайс-лист продукции. 1.5 Угрозы информационной безопасности характерные для предприятия 1. Автоматизированное рабочее место сотрудника Угроза Уязвимости 1. Физический доступ нарушителя к 1. Отсутствие системы контроля рабочему месту доступа сотрудников к чужим рабочим местам 2. Отсутствие системы видеонаблюдения на предприятии 2. Разглашение конфиденциальной 1. информации, рабочем хранящейся месте Отсутствие соглашения о на неразглашении между работником сотрудника и работодателем организации 2. Нечеткая регламентация ответственности сотрудников предприятия 3. Разрушение утрата) информации (повреждение, 1. Отсутствие ограничения доступа конфиденциальной пользователей к сети интернет и к при помощи внутренней корпоративной сети специализированных программ и вирусов 2. Конфиденциальная информация Угроза Уязвимости 1. Физический доступ нарушителя 1. к носителям Неорганизованность контрольно-пропускного режима в организации 2. Отсутствие видеонаблюдения в организации 2. Разглашение конфиденциальной 1. информации, используемой Отсутствие соглашения о в неразглашении конфиденциальной документах, вынос носителей за информации пределы контролируемой зоны 2. Нечеткое распределение ответственности (носители за документы конфиденциальной информации) между сотрудниками организации 3. Несанкционированное 1. копирование, размножение печать Нечеткая организация и конфиденциального носителей документооборота в организации конфиденциальной информации 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации. 1. Угрозами доступности информации являются: разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар); отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения. Мерами предотвращения данных угрозы может являться следующее: - Установка программы антивируса. - Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки. - Установка аварийных источников бесперебойного питания. - Подвод электроэнергии не менее от двух независимых линий электропередачи. - Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры. 2. Угрозами целостности информации являются: нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных; потеря информации на жестких носителях; угрозы целостности баз данных; угрозы целостности программных механизмов работы предприятия. Мерами предотвращения данной угрозы может являться следующее: - Введение и частая смена паролей. - Использование криптографических средств защиты информации. 3. Угрозами конфиденциальности являются: кражи оборудования; делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией; открытие портов; установка нелицензионного ПО; злоупотребления полномочиями. Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы: 1. Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет; 2. Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных; 3. Внутренний отказ информационной системы, т.е. отказ программного или аппаратного обеспечения, повреждение аппаратуры; 4. Угрозы технического характера; 5. Угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях; 6. Несанкционированный доступ к информации (использование ресурсов без предварительно полученного разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации; 7. Кража программно-аппаратных средств и т.д. 1.6 Методы и средства защиты информации на предприятии Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней: 1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил. Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются: - Гражданский кодекс РФ ст.139; - Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183; - Закон Российской Федерации "Об информации, информатизации и защите информации"; - Закон Российской Федерации "О коммерческой тайне". 2. Административный уровень информационной безопасности. Политика информационной безопасности пока не утверждена. 3. Организационный уровень защиты информации. Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты. Организационные меры защиты информации на предприятии реализованы следующим образом: - Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации; - Организована работа с документами и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации. В качестве недостатков данного уровня защиты можно указать следующие факты. Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт. Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами. 4. Программно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации. На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации. Программно-аппаратные средства защиты информации: 1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне. SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме "точка-точка" с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS). 2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов. Производится нерегулярное обновление баз и сканирование рабочих станций. 3. Встроенный Windows Backup для создания архивов. OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок. 4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).