Информация и ее характеристики

Темой курсового проек.т.а я.в.л.я.е.т.с.я «И.н.ф.о.р.м.а.ц.и.о.н.н.а.я б.е.з.о.п.а.с.н.о.с.т.ь э.л.е.к.т.р.о.н.н.ы.х т.о.р.г.о.в.ы.х п.л.о.щ.а.д.о.к

В с.л.о.ж.и.в.ш.е.е.с.я с.о.в.р.е.м.е.н.н.о.е в.р.е.м.я и.н.ф.о.р.м.а.ц.и.я к.р.а.й.н.е в.о.с.т.р.е.б.о.в.а.н.а в л.ю.б.о.й с.ф.е.р.е д.е.я.т.е.л.ь.н.о.с.т.и н.а.ч.и.н.а.я о.т м.а.л.о.г.о б.и.з.н.е.с.а з.а.к.а.н.ч.и.в.а.я г.о.с.у.д.а.р.с.т.в.е.н.н.ы.м.и у.ч.р.е.ж.д.е.н.и.я.м.и. 



С.о.в.р.е.м.е.н.н.ы.е т.о.р.г.о.в.ы.е п.л.о.щ.а.д.к.и н.у.ж.д.а.ю.т.с.я в э.ф.ф.е.к.т.и.в.н.о.й з.а.щ.и.т.е в.н.е.ш.н.е.г.о и в.н.у.т.р.е.н.н.е.г.о и.н.ф.о.р.м.а.ц.и.о.н.н.о.г.о п.о.т.о.к.а в.в.и.д.у м.н.о.г.о.ч.и.с.л.е.н.н.ы.х к.р.а.ж и п.р.и.с.в.о.е.н.и.и р.а.з.л.и.ч.н.о.г.о р.о.д.а и.н.ф.о.р.м.а.ц.и.и. Т.е.н.д.е.н.ц.и.я с.о.в.р.е.м.е.н.н.ы.х з.а.к.у.п.о.к т.а.к.о.в.а, ч.т.о б.о.л.ь.ш.а.я ч.а.с.т.ь т.е.н.д.е.р.о.в п.р.о.в.о.д.и.т.с.я в э.л.е.к.т.р.о.н.н.о.м в.и.д.е. Д.а.ж.е в с.е.к.т.о.р.е г.о.с.у.д.а.р.с.т.в.е.н.н.ы.х з.а.к.у.п.о.к п.р.о.и.с.х.о.д.и.т п.е.р.е.в.о.д б.у.м.а.ж.н.ы.х п.р.о.ц.е.д.у.р в э.л.е.к.т.р.о.н.н.ы.й ф.о.р.м.а.т. П.о.э.т.о.м.у н.е з.а г.о.р.а.м.и т.о в.р.е.м.я, к.о.г.д.а а.б.с.о.л.ю.т.н.о в.с.е Г.о.с.у.д.а.р.с.т.в.е.н.н.ы.е з.а.к.у.п.к.и б.у.д.у.т о.с.у.щ.е.с.т.в.л.я.т.ь.с.я п.о.с.р.е.д.с.т.в.о.м э.л.е.к.т.р.о.н.н.ы.х п.р.о.ц.е.д.у.р. Т.а.к.и.е э.л.е.к.т.р.о.н.н.ы.е п.р.о.ц.е.д.у.р.ы п.р.о.в.о.д.я.т.с.я н.а с.п.е.ц.и.а.л.и.з.и.р.о.в.а.н.н.ы.х п.л.о.щ.а.д.к.а.х в с.е.т.и и.н.т.е.р.н.е.т.

Э.л.е.к.т.р.о.н.н.а.я т.о.р.г.о.в.а.я п.л.о.щ.а.д.к.а (Э.Т.П) – э.т.о т.а.к.о.й р.е.с.у.р.с в с.е.т.и и.н.т.е.р.н.е.т в к.о.т.о.р.о.м п.р.о.в.о.д.я.т.с.я з.а.к.у.п.к.и, э.л.е.к.т.р.о.н.н.ы.е т.о.р.г.и, а.у.к.ц.и.о.н.ы. Э.л.е.к.т.р.о.н.н.а.я п.л.о.щ.а.д.к.а с.о.ч.е.т.а.е.т в с.е.б.е к.о.м.п.л.е.к.с о.р.г.а.н.и.з.а.ц.и.о.н.н.ы.х, и.н.ф.о.р.м.а.ц.и.о.н.н.ы.х р.е.ш.е.н.и.й, о.б.е.с.п.е.ч.и.в.а.ю.щ.и.х в.з.а.и.м.о.д.е.й.с.т.в.и.е з.а.к.а.з.ч.и.к.а и п.о.с.т.а.в.щ.и.к.а. Д.а.н.н.ы.й в.и.д д.е.я.т.е.л.ь.н.о.с.т.и о.с.у.щ.е.с.т.в.л.я.е.т.с.я п.о.с.р.е.д.с.т.в.о.м э.л.е.к.т.р.о.н.н.о.г.о д.о.к.у.м.е.н.т.о.о.б.о.р.о.т.а. 

  В.о м.н.о.г.и.х (Э.Т.П) с.и.с.т.е.м.а и.н.ф.о.р.м.а.ц.и.о.н.н.о.й б.е.з.о.п.а.с.н.о.с.т.и н.е р.а.з.в.и.т.а и п.о.д.в.е.р.ж.е.н.а р.и.с.к.у, п.о.э.т.о.м.у в.с.е, к.т.о м.о.г.у.т у.ч.а.с.т.в.о.в.а.т.ь в п.р.о.ц.е.д.у.р.е т.о.р.г.о.в, а.у.к.ц.и.о.н.о.в п.о.д.в.е.р.ж.е.н.ы б.о.л.ь.ш.о.й о.п.а.с.н.о.с.т.и. В.н.е.д.р.е.н.и.е и.л.и у.с.о.в.е.р.ш.е.н.с.т.в.о.в.а.н.и.е к.о.м.п.л.е.к.с.о.в з.а.щ.и.т.ы п.о.з.в.о.л.и.т з.н.а.ч.и.т.е.л.ь.н.о с.н.и.з.и.т.ь у.р.о.в.е.н.ь в.о.з.н.и.к.н.о.в.е.н.и.я п.р.е.ц.е.д.е.н.т.а п.о п.р.о.т.и.в.о.з.а.к.онному доступу к информации различных организаций.

Основная цель проекта является внедрение или улучшение комплексных систем безопасности современных (ЭТП).

Для достижения поставленной цели необходимо первоначально решить следующие задачи:



Произвести анализ основ защиты электронных торговых площадок;

Проанализировать деятельность отдельно взятой организаций;

Поэтапно разработать меры по внедрению или повышению уровня информационной безопасности;



Главной функцией разрабатываемой системы повышение уровня информационной безопасности на предприятиях, снижение уровня рисков взлома и присвоении информации, а также присвоении активов организаций.



1. ИНФОРМАЦИЯ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

1.1 Информация и ее характеристики

Информация - данное совокупа сведений о людях, предметах, прецедентах, событиях и действиях вне зависимости от формы их представления. Это определение отмечено в Законе «Об информации, информатизации и охране информации», принятом в 1995 году. Информация, нужная для принятия управленческих решении, обязана быть абсолютной, четкой, достоверной, актуальной, легкодоступной, значимой. Она считается одновременно и предметом, и продуктом труда. Информация имеет возможность создаваться, передаваться, храниться, обрабатываться.

Информация различается на наиболее 20 подгрупп зависимо от ее отраслевой принадлежности и востребованности в обществе (экономическая, научная, правовая, банковская, медицинская коммерческая и т.п.). Неважно какая информация разных групп обязана быть защищена, но необходимо полагать, что нет объективной необходимости гарантировать охрану всей информации потому принято подразделять информацию на открытую и информацию ограниченного доступа. В сложившееся информационное время человек живет в мире информации, являющейся главным ресурсом, владея которым можно оптимально строить свои бизнес-процессы.

Аспектами развитости информационного сообщества считаются:

-лицензионное и надежное программное обеспечивание;

- уровень развития компьютерных сетей;

- наличие необходимого числа компьютеров;

- численность населения, занятого в информационной сфере и использующего информационную и коммуникационную технологии в собственной ежедневной жизни.

Информационная культура сообщества ориентируется не только лишь овладением конкретных навыков и осознанием в сфере информационных технологии, хотя предполагает еще и знание юридических и нормативных актов. Закон запрещает применения пиратского программного обеспечения (ПО). Законы требуют соблюдения основных правил и норм при работе с электрической почтой, с участием в разных сферах деятельности. 

В нынешнее сложившееся время не маловажную роль играет компьютерная грамотность, умение выполнять простые действия на персональном компьютере, проводить квалифицированные манипуляции, поиск либо иные действия в сети Интернет.

 формирование и осуществление единой политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;

- развитие законодательства в сфере информационных процессов, информатизации и защиты информации.

Информационная технология -- это процесс, использующий совокупность средств и методов сбора, обработки и передачи первичной информации для получения информации нового качества о состоянии объекта, т. е. информационного продукта. Это совокупность четко регламентированных операций по преобразованию информации, совокупность методов, способов, приемов и средств, реализующих информационный процесс в соответствии с заданными требованиями.

В качестве инструментария информационной технологии выступают различные программные средства -- текстовые редакторы, табличные процессоры, системы управления базами данных, программные средства специализированного назначения.

Конкретные информационные технологии реализуют процессы обработки данных при решении функциональных задач пользователя.

Базовая информационная технология предназначена для конкретной области применения. Это могут быть технологии, реализующие процессы обучения, научные исследования, производственные процессы. Глобальная информационная технология включает модели, методы н средства, формализующие и позволяющие использовать информационные ресурсы общества.

Определяют следующую структуру информационной технологии.

1. Технологический процесс -- это часть процесса производства информационной продукции, содержащий действия по изменению состояния предмета производства. Это могут быть, к примеру, действия по преобразованию табличной формы представления информации в графическую, отображение текста по гипертекстовой ссылке и др.

2. Информационная процедура -- это отдельная, законченная часть технологического процесса, выполняемая на одном рабочем месте. Она характеризуется неизменностью объекта производства и используемых средств реализации информационной технологии. Такими процедурами являются процедуры сбора и регистрация информации, передачи, обработки, хранения и поиска информации, ее анализа.

3. Технологические операции и переходы.

Каждая из названных процедур обработки состоит из операций. Например, процедура обработки информации включает операции -- ввод информации в машину, контроль ввода, обработка, ввод и контроль вывода, отображение результатов. Процедура передачи информации включает операции -- ввод информации в каналы связи, преобразование информации из цифровой формы в аналоговую, непосредственно передачу, вывод сообщений с обратным преобразованием, контроль вывода. Технологический переход это законченная, заключительная часть технологической операции, обеспечивающая условия для начала следующей технологической операции.

Любая информационная технология складывается из взаимосвязанных информационных процессов. Как базовая информационная технология, так и отдельные информационные процессы могут быть представлены тремя уровнями:

- концептуальный уровень;

Определяет содержательный аспект информационной технологии или процесса . Включает: сбор, подготовку, традиционную передачу (телефон, почта, курьер), ввод, обработку, обмен, накопление, представление знаний. Формирование информационного ресурса начинается с процесса сбора информации. Процессы сбора, подготовки и ввода являются, в основном, ручными процессами. Преобразование данных включает четы ре основных процесса: обработки, обмена, накопления данных и представления знаний.

Процесс обработки данных включает следующие операции:

- сбор данных, предполагающий их накопление для обеспечения полноты, достаточной для принятия решений;

- кодирование данных -- приведение их к одинаковой форме для повышения доступности в процессе обработки;

- фильтрацию данных - отсеивание данных, не представляющих ценности для принятия решений;

- сортировку данных -- упорядочение их по заданному признаку с целью удобства использования;

- группировку данных - объединение данных по заданному признаку для удобства использования;

- архивацию данных -- организацию хранения данных в доступной и удобной форме;

- защиту данных - предотвращение изменений данных и их потерь;

- преобразование данных -- перевод их из одной формы (структуры) в другую.

Процесс обмена включает дня типа процедур: процедуры передачи данных по каналам связи и сетевые процедуры, позволяющие осуществлять организацию вычислительной сети.

Процесс накопления позволяет так преобразовать информацию, что ее удается хранить длительное время, обновляя ее, а при необходимости извлекая в заданном объеме и по заданным признакам.

Процесс представления знаний включен в базовую информационную технологию как один из основных, поскольку высшим продуктом информационной технологии является знание. Этот процесс состоит из процедур получения формализованных знаний и процедур генерации, т. е. вывода новых знаний из полученных.

- логический уровень;

Представляется комплексом взаимосвязанных моделей, формализующих процессы преобразования информации в данные, т. е. отражает формализованное, модельное описание процесса. На основе моделей предметной области, характеризующей объект управления, создается общая модель управления, а из нее вытекают модели решаемых задач. При обработке данных формируются информационные модели обработки, обмена, накопления и представления.

Модель обработки данных включает в себя формализованное описание процедур организации вычислительного процесса, преобразования и отображения данных. К примеру, процедуры преобразования данных представляют собой алгоритмы и программы обработки данных и их структур. Это стандартные процедуры (сортировка, поиск, создание и преобразование структур данных) и нестандартные процедуры, которые обусловлены соответствующими алгоритмами и программами. Процедуры организации вычислительного процесса -- это управление ресурсами компьютера (памятью, процессором, внешними устройствами). Процедуры отображения данных обеспечивают отображение и восприятие данных в виде текстовой информации, графиков, изображений, звука с использованием средств мультимедиа.

Модель обмена включает процедуры передачи, маршрутизации и коммуникации. В свою очередь, передача данных основывается на моделях кодирования, модуляции и демодуляции. На основе моделей обмена производится синтез системы обмена данными, при котором оптимизируются топология и структура вычислительной сети, протоколы и процедуры доступа, адресации и маршрутизации.

Модель накопления формализует описание информационной базы, т. е. базы данных. Концептуальная схема информационной базы описывает информационное содержание определенной области, т. е. показывает, какая информация и в каком объеме должна накапливаться при реализации информационной технологии.

- физический уровень

Представляет собой программно-аппаратную реализацию информационной технологии. При этом стремятся максимально использовать типовые технические средства и программное обеспечение. На физическом уровне автоматизированная информационная технология рассматривается как большая система, в составе которой выделяются уже названные подсистемы обработки, обмена, накопления данных, управления данными и представления знаний. Каждая из указанных подсистем реализуется с помощью соответствующего комплекса технических средств.

Для выполнения функций подсистемы обработки данных используются ЭВМ различных классов. На верхнем уровне управления это абонентские вычислительные машины (серверы), на нижнем уровне -- персональные компьютеры либо управляющие ЭВМ. Обработка данных производится с помощью программ для той предметной области, для которой создана информационная технология.

В подсистему обмена данными входят комплексы программ и устройства, позволяющие реализовать вычислительную сеть и осуществить по ней прием и передачу сообщений с необходимыми скоростью и качеством. Это модемы, усилители, коммутаторы и специальные вычислительные комплексы, осуществляющие коммуникацию, маршрутизацию и доступ к сетям.

Подсистема накопления данных реализуется с помощью банков и баз данных, организованных на внешних устройствах компьютеров или ими управляемых. Помимо локальных баз и банков используются распределенные банки данных с распределенной обработкой информации.

Информация обладает следующим рядом свойств.

Целостность информации - свойство, которое состоит в том, что информация не может быть изменена (сюда входит и удалена) неуполномоченным на то субъектом (это может быть и человек, и компьютерная программа, и аппаратная часть компьютера, и любое другое воздействие типа сильного магнитного излучения, наводнения или пожара).

Доступность информации - свойство, которое позволяет субъекту, который имеет на это право, получить информацию в виде, необходимой ему, в удобном месте в удобное время.

Достоверность информации - свойство информации быть правильно воспринятой.

1.2 Информационная безопасность

Информационная безопасность - это состояние информационной системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внутренних и внешних информационных угроз, а с другой - ее функционирование не создает информационных угроз для элементов самой системы и внешней среды.

Для данного определения мерой безопасности информационной системы являются :

- с позиции противостояния дестабилизирующему воздействию внутренних и внешних угроз - степень сохранения информационной системой своей структуры, технологии и эффективности функционирования при влиянии дестабилизирующих факторов таких как:

1. Вредоносное программное обеспечение - вирусы, программы шпионы, spyware, adware и другие.

2. DDoS атаки - распределенные атаки типа «отказ в обслуживании»

3. Инъекции кода - PHP инъекция (внедрение в php код, возможен из за непродуманного модуля или элемента), SQL инъекция (атака на базу данных с возможностью вывода конфиденциальной информации), Межсайтовый скриптинг - тип уязвимостей, обычно обнаруживаемых в веб-приложениях, которые позволяют внедрять код злонамеренным пользователям в веб-страницы, просматриваемые другими пользователями

4. Социальная инженерия - использование некомпетентности сотрудников, с целью получения конфиденциальных данных.

- с позиции отсутствия угроз для элементов системы и внешней среды - степень возможности или их невозможности появления дестабилизирующих факторов, представляющих угрозу элементам информационной системы или внешней среды.

Рассмотренное определение является вполне корректным и достаточно полным. Однако, для того, чтобы быть ориентиром в нахождении путей решения проблем информационной безопасности, нуждающимся в детализации и уточнении его главных понятий. При этом исходный точкой является тот факт, что информация, являясь непременным компонентом любой организованной системы:

- легко уязвима и поэтому доступна для дестабилизирующего воздействия большого числа разноплановых угроз;

- сама может являться источником значительного числа разноплановых угроз как для элементов системы, так и для внешней среды.

Из чего следует, что процесс обеспечения информационной безопасности при общей постановке проблемы достигается только при взаимоувязанном решении трех составляющих проблемы:

- защита циркулирующей в системе информации от дестабилизирующего влияния внутренних и внешних угроз;

- защита элементов информационной системы от дестабилизирующего воздействия внутренних и внешних угроз;

- защита внешней среды от угроз со стороны информационной системы.

Общая схема обеспечения информационной безопасности изображена на рисунке 1.

Рисунок 1. Общая схема обеспечения информационной безопасности

Обеспечение безопасности функционирования информационных систем производится путем установления требований к надежности и безопасности используемых в таких системах аппаратных и программных средств, проверки соответствия указанным требованиям, лицензирования отдельных видов деятельности по созданию и поддержке информационных и информационных систем, установления ограничений на приобретение и использование отдельных видов аппаратных и программных средств, используемых в информационных и информационных системах.

Перечень необходимых мер обеспечения информационной безопасности устанавливается в результате обследования информационной системы, учитывая соотношения затрат на защиту информации к возможному ущербу, связанному с ее разглашением, утратой, уничтожением, искажением, нарушением санкционированной доступности информации и работоспособности технических средств, обрабатывающих данную информацию, а также с учетом существующих возможностей ее перехвата и раскрытия ее содержания.

Оценка способности системы обеспечивать каждое из этих функциональных свойств, производится по сформулированной в нормативных документах по защите информации системе критериев оценки защищенности.

ГЛАВА 2.ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ ТОРГОВОЙ ПЛОЩАДКИ ООО «АВАНГАРД ТЕХНОЛОГИИ»

2.1 Описание организации

Электронная торговая площадка (ЭТП) объединяет информационные и технические решения, обеспечивающие взаимодействие покупателя и продавца посредством электронных каналов связи на всех этапах осуществления торгово-закупочной деятельности.

Для реализации веб интерфейса ЭТП был выбран движок Joomla. Joomla представляет собой бесплатную систему для создания веб-сайтов. Это проект с открытым исходным кодом, который, как и большинство подобных проектов, не стоит на месте. Он очень успешно развивается, в течение вот уже семи лет, и пользуется популярностью у миллионов пользователей по всему миру (http://joomla.ru).

Рассмотрим основные задачи, решаемые проведением торгов на электронных торговых площадках:

- расширение рынков сбыта полимерных покрытий;

Из-за того, что на ЭТП работает множество компаний, сформировывается огромная база спроса и предложений, которыми и пользуются участники, что в режиме реального времени позволяет осуществлять торговые операции.

- организация тендеров на проведение работ и закупку материалов;

Для крупных закупок товара ЭТП предоставляет клиентам возможность создания тендеров на работы или закупку материала, как один из самых эффективных и экономически выгодных инструментов ведения бизнеса. На сегодняшний день это одна из самых востребованная форм проведения закупок товаров и услуг, т.к. торговая площадка не лоббирует ничьих интересов и гарантирует непредвзятость в определении победителя.

- определение эффективности работы;

ЭТП может быть использована как инструмент маркетинга. С помощью ЭТП довольно просто провести анализ динамики продаж товаров и услуг организации, проанализировать востребованность товара на рынке, спрогнозировать спрос и предложение. Мощные инструменты статистики и анализа, применяемые на ЭТП, предоставляют уникальную возможность без лишних затрат принимать ключевые решения по развитию бизнеса. Предоставленный клиенту доступ в рабочую зону электронной торговой площадки предоставляет следующий функционал:

- рассылку или получение заявки на участие в тендере,

- прямое взаимодействие с потенциальными партнерами,

- отслеживание сделок, платежей по ним, а также графиков поставки товаров и услуг.

Современные тенденции развития рынка электронной коммерции в Российской Федерации указывают на формирование нового уровня управления торгово-закупочной деятельностью организации.

Действующие электронные торговые площадки, на которых проводится большинство торговых операций, не в полной мере реализуют заложенный в них потенциал роста, что связано, в первую очередь, с региональной замкнутостью и жесткой территориальной привязанностью участников торгов.

Работая на ЭТП, заказчик и поставщик могут успешно решать разнообразные вопросы, появляющиеся в повседневной деловой практике, потому что данные системы реализовывают ключевые функции:

1.Информационная функция позволяет просматривать перечень организаций, которые работают на ЭТП, получить информацию по интересующей организации.

2.Функционал маркетинга, который позволяет осуществлять поиск покупателей и потребителей интересующих услуг и работ, а так же получать информацию о спросе и предложениях на работы и услуги, которые размещают на площадке другие организации.

Электронная Торговая Площадка «Авангард технологии» позволяет собрать в едином информационно-торговом пространстве поставщиков и потребителей строительных товаров и услуг и предоставляет участникам данной площадки ряд сервисов, которые могут повысить эффективность их бизнеса. Заказчикам предоставляется возможность создавать электронные торги - тендеры, аукционы, запросы цен и предложений, - оптимизируя затраты, а поставщикам - участвовать в проводимых закупках, размещать информацию о предлагаемой продукции и услугах.

В некоторых случаях размещением торговых процедур занимаются специализированные компании, которые помимо размещения информации на торговой площадке обрабатывают полученный результат и даже, возможно, определяют победителя торгов или тендера.

3. Рекламная функция позволяет, разместив информацию об организации на площадке, сразу попасть в единое информационное пространство, контролируемое организатором.

4. Торговая функция позволяет в качестве организатора торгов осуществлять полный комплекс разнообразных торгово-закупочных мероприятий по получению товаров и услуг. В качестве участника торгов осуществлять комплекс действий для эффективной продажи собственных товаров и услуг.

5. Аналитическая функция позволяет проводить сравнительный анализ различных показателей деятельности организаций. Верно выбрать агентов для выполнения поставок, работ и услуг по интересующей тематике.

2.2 Выбор комплекса задач обеспечения информационной безопасности

Основываясь на практическом опыте, организация системы безопасности организации должна основываться на следующих принципах :

- непрерывность осуществляется мерами по обеспечению безопасности, основанными на постоянной готовности отражения как внешних, так и внутренних угроз безопасности организации. Из данного принципа следует необходимость понимания руководством организации того, что процесс обеспечения безопасности непрерывен по своей сути;

- комплексность подразумевает применение всех необходимых средств защиты финансовых, информационных, материальных и человеческих ресурсов в каждом отделе организации, на всех этапах функционирования бизнес-процессов. Реализация принципа комплексности определяется правовыми, организационными и инженерно-техническими мероприятиями без приоритетного выделения одного из них;

- своевременность подразумевает обеспечение безопасности, используя комплекс упреждающих мероприятий. Данным принципом предполагается постановка системы задач обеспечения безопасности еще на ранних стадиях разработки системы обеспечения безопасности, а также разработку эффективных мероприятий предупреждения нарушений интересам организации;

- законность подразумевает обеспечение безопасности, не противоречащее законодательству Российской Федерации и другим нормативным актам, утвержденным органами государственной власти. В настоящее время остается открытым вопрос позволительности определенных методов противодействия правонарушениям в рамках действующего законодательства;

- активность подразумевает обеспечение службы экономической безопасности организации достаточными для выполнения должностных обязанностей полномочиями и необходимыми материально-техническими средствами;

- универсальность подразумевает применение ряда мероприятий, дающих положительный эффект, не зависящий от места и времени их применения;

- экономическая целесообразность предполагает сопоставление возможного ущерба от угроз с затратами на их нейтрализацию. Как правило, стоимость системы обеспечения безопасности не должна превышать величины возможного ущерба от определенного риска;

- конкретность и надежность определяет конкретные виды ресурсов, выделяемые на обеспечение безопасности. При этом обязательно достаточное дублирование методов, форм и средств защиты для обеспечения режима безопасности организации;

- профессионализм подразумевает реализацию мер обеспечения безопасности только профессионально обученными специалистами. С учетом быстрого развития средств, систем и нормативной базы обеспечения безопасности требуется постоянное совершенствование мероприятий по защите на базе обучения сотрудников службы экономической безопасности;

- взаимодействие и координация осуществляются мерами обеспечения безопасности, основанными на четком взаимодействии соответствующих отделом и сотрудников. Вопросами взаимодействия и координации не только сотрудники и отделы, непосредственно отвечающие за безопасность, но все должностные лица организации;

- централизация управления и автономность обеспечивает организационно-функциональную самостоятельность процесса организации защиты всех ее объектов, а также централизованное управление процесса обеспечения безопасности организации в целом.

Общая структура обеспечения информационной безопасности предприятия должна включать следующие подсистемы:

- управления доступом, регистрации и учета;

- антивирусной защиты информации;

- подсистемы межсетевого экранирования;

- подсистема обнаружения вторжений;

- подсистемы анализа защищенности;

- защиты каналов передачи данных (криптографические средства).

Комплекс технологической документации по обеспечению режима информационной безопасности электронной торговой площадки ООО «Авангард технологии» включает:

- Инструкцию по порядку доступа пользователей в компьютерную сеть;

- Инструкцию о порядке действий в нештатных ситуациях;

- Инструкцию по порядку резервного копирования и архивирования информации;

- Инструкцию по обеспечению работоспособности ЛBC;

- Инструкцию по организации антивирусной защиты;

- Инструкцию по организации парольной защиты;

- Инструкцию по регламентации работы администратора и начальника отдела организации.

Выполнение работниками организации требований данных инструкций позволяет избежать сбоев в обработке информации средствами вычислительной техники.

Данные разрозненные нормативно-правовые акты, регламентирующие обеспечение безопасности информации, объединяются в единый документ верхнего уровня - политику информационной безопасности.

Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на обеспечение информационной безопасности в информационных системах, включая бумажный документооборот и обмен речевой конфиденциальной информацией. Политика информационной безопасности представляет пакет документов, включающих головной документ - «Политика информационной безопасности» и документы, регламентирующие процессы обеспечения информационной безопасности, деятельность должностных лиц инфраструктуры информационной безопасности и пользователей информационных систем организации.

Цель политики - выработать и утвердить единые требования и правила, способные обеспечить надлежащую защиту информации и бесперебойную работу информационных систем организации свести к минимуму возможный ущерб от их эксплуатации посредством разработки эффективных превентивных и восстановительных мер противодействия угрозам безопасности.

Документ описывает цели и задачи информационной безопасности, определяет совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности, а также устанавливает должностных лиц, являющихся ответственными за реализацию политики ИБ и поддержание ее в актуальном состоянии.

Требования настоящего документа обязательны для выполнения всеми должностными лицами электронной торговой площадки ООО «Авангард технологии».

2.3 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

информационная безопасность электронная торговая

Общая структура обеспечения информационной безопасности предприятия должна включать следующие подсистемы:

- управления доступом, регистрации и учета;

- обеспечения целостности;

- антивирусной защиты информации;

- подсистемы межсетевого экранирования;

- подсистема обнаружения вторжений;

- подсистемы анализа защищенности;

- защиты каналов передачи данных (криптографические средства).

Обеспечение безопасности в joomla.

- Резервное копирование и восстановление Akeeba Backup Core ;

- Защита административной зоны jSecure Lite;

- Защита от спама osolCaptcha;

- Защита от SQL иньекций RSFirewall

- Проверка на подлинность бесплатный SSL сертификат от StartSSL

Стоит заметить, что важным требованием к применяемым средствам защиты является наличие действующих сертификатов ФСТЭК и ФСБ (в части криптографических средств защиты).















Таким образом, для организации системы информационной безопасности электронной торговой площадки ООО «Авангард технологии» были выбраны следующие средства защиты.

Для реализации поставленных целей предполагается установка антивирусного программного средства «Kaspersky Open Space Security Certified Media Pack Customized».

Согласно результатам тестирования 39 антивирусов COMSS.TV: 2014 Q1 продукты Лаборатории Касперского заняли почетное 3 место.

Поэтому для рабочих станций и серверного оборудования на предприятии выберем Антивирус Касперского. Для централизованного администрирования - комплекс Kaspersky Security Center, который функционирует в любых TCP/IP сетях - как в одноранговых, так и в сетях с доменной структурой.

Раньше IT-департаменту приходилось работать одновременно с несколькими консолями управления, чтобы управлять многочисленными средствами обеспечения безопасности, а также для выполнения основных функций системного администрирования. «Лаборатория Касперского» создала решение, упрощающее работу администратора.

Kaspersky Security Center одлабает следующими преисуществами:

Простота управления

Главной целью создания Kaspersky Security Center было стремление упростить и ускорить процессы настройки, запуска и управления для средств обеспечения IT-безопасности и систем в сложной IT-среде. Единая консоль управления помогает контролировать все используемые средства обеспечения безопасности и системного администрирования «Лаборатории Касперского». С Kaspersky Security Center можно контролировать каждое рабочее место и каждое устройство в сети, централизованно решать задачи обеспечения безопасности, а также снизить операционные издержки и повысить производительность.

Интуитивно понятный интерфейс

При разработке Kaspersky Security Center были сделаны приоритеты предоставления пользователю максимально простого в использовании интерфейса с четко организованными панелями мониторинга.

Простая установка

С помощью мастера установки можно быстро и просто устанавливать и настраивать решения для обеспечения безопасности «Лаборатории Касперского» во всей IT-среде.

Удаленный доступ

В дополнение к локальной консоли управления в Kaspersky Security Center имеется удобная веб-консоль. Наличие такой консоли позволяет использовать любой компьютер с выходом в интернет, чтобы отслеживать состояние защиты корпоративной сети.

Простая отчетность

Kaspersky Security Center позволяет создавать и настраивать различные отчеты о состоянии защиты. Отчеты могут формироваться как по требованию, так и согласно заданному расписанию.

Поддержка мультиплатформенных сред

Работая в операционной системе Windows, Kaspersky Security Center поддерживает управление множеством операционных систем и платформ, включая серверы и рабочие станции под управлением Windows, Linux, а также мобильные устройства под управлением Android, iOS, BlackBerry, Symbian, Windows Mobile и Windows Phone.

Предлагается установить сертифицированный межсетевой экран.

Программное обеспечение TrustAccess является распределенным межсетевым экраном высокого класса защиты с функцией централизованного управления и аудита событий информационной безопасности и предназначено для защиты рабочих станций и серверов локально-вычислительной сети от несанкционированного доступа, разграничения сетевого доступа к информационным системам предприятия.

 Внедрение данного программного обеспечения не требует изменения структуры существующей сетевой инфраструктуры. Программное обеспечение может быть использовано как для защиты физических, так и виртуальных машин, как в сетях с доменной структурой, так и в одноранговых.

Используя TrustAccess можно разграничить доступ к сетевым службам при взаимодействии в терминальной среде, разделить права доступа к сетевым ресурсам на основе уровней допуска или должностных инструкций сотрудников.

Данного программного обеспечения реализует следующий функционал:

- аутентификацию сетевых соединений на уровне компьютером и пользователей;

- фильтрацию сетевых соединений;

- защиту сетевых соединений;

- регистрацию событий информационной безопасности;

- осуществление контроля целостности и защиту от несанкционированного доступа;

- функции централизованного управления;

- функции централизованного сбора и отображения данных аудита, информационной безопасности;

- генерацию отчетов по событиям информационной безопасности на защищаемых компьютерах;

- интеграцию с другими система защиты, например, SecretNet 7.

Для защиты рабочих станций и серверов от несанкционированного доступа предлагается установка ПАК «Соболь».

Электр.......................