Информационная безопасность в современных системах управления организацией (на примере гостиничного комплекса «АвтоДом»)

Автор работы: Пользователь скрыл имя, 15 Декабря 2011 в 10:26, отчет по практике

Краткое описание

Бизнес любой современной организации тесно связан с информационными технологиями. Сегодня трудно представить эффективную работу компании без использования передовых достижений. Вместе с тем, на передний план внедрения ИТ-проектов, наряду с устойчивостью, масштабируемостью, прозрачностью и соответствием ИТ-инфраструктуры бизнес-специфике заказчика выходит проблема информационной безопасности (ИБ). Без учета этого элемента ценность проекта не только сводится к нулю, но может нанести организации непоправимый ущерб — ущерб репутации, нарушение непрерывности процессов, финансовые убытки, а в худшем случае — невозможность дальнейшего ведения бизнеса.

Содержание работы

Введение
1. Основная характеристика гостиницы «АвтоДом» и предоставляемых ее услуг
2. Организационная структура гостиницы «АвтоДом»
3. Информационная система управления в гостиничном комплексе «АвтоДом»
4. Выводы и рекомендации
5. Список использованной литературы

Содержимое работы - 1 файл

2764 отчет.doc

— 170.00 Кб (Скачать файл)

Тема: Информационная безопасность в современных системах управления организацией (на примере гостиничного комплекса «АвтоДом»). 
 
 

Введение

1. Основная характеристика гостиницы «АвтоДом» и предоставляемых ее услуг

2. Организационная  структура гостиницы «АвтоДом»

3. Информационная система управления в гостиничном комплексе «АвтоДом»

4. Выводы  и рекомендации

5. Список использованной литературы 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

      Введение 

     Бизнес  любой современной организации  тесно связан с информационными  технологиями. Сегодня трудно представить эффективную работу компании без использования передовых достижений. Вместе с тем, на передний план внедрения ИТ-проектов, наряду с устойчивостью, масштабируемостью, прозрачностью и соответствием ИТ-инфраструктуры бизнес-специфике заказчика выходит проблема информационной безопасности (ИБ). Без учета этого элемента ценность проекта не только сводится к нулю, но может нанести организации непоправимый ущерб — ущерб репутации, нарушение непрерывности процессов, финансовые убытки, а в худшем случае — невозможность дальнейшего ведения бизнеса.

     Корпоративная информационная система (ИС) представляет собой постоянно меняющуюся структуру, четко реагирующую на изменения  бизнес-процессов. Одновременно с развитием  организации усложняется и ИС в направлении расширения спектра задач, функций и сервисов. В ходе этих изменений очень просто потерять нить ИБ. Вместе с тем, она должна пронизывать проект не только с самого начала, но сопровождать все без исключения этапы модернизации ИС. Отсутствие этого элемента провоцирует появление брешей в ИТ-инфраструктуре, влечет возникновение хаоса и резкому росту рисков, сводя на нет первоначальные вложения и усилия.

     Данное  исследование преследует цель выяснить подходы российских организаций  к изменениям ИС и роли ИБ в этом процессе для сопоставления с глобальными тенденциями и общепринятыми нормами. Материал затрагивает такие актуальные вопросы как наличие политики, средств и рабочего инструментария управления изменениями ИС, степень вовлеченности различных подразделений организации. Одним из важнейших аспектов исследования является положение и ответственность отдела ИБ как важнейшего проводника устойчивости ИС с точки зрения информационной безопасности.

     Российские  организации гораздо более подготовлены к решению проблем информационной безопасности, нежели их западные коллеги: 45 % респондентов имеют выделенные ИБ-службы, в то время как на Западе этот показатель составляет 27 %.

     В то же время Россия отстает от глобальных тенденций с точки зрения места  ИБ-службы в иерархии организации: лишь в 25 % организаций ИБ курируется непосредственно первым лицом. В общемировой практике этот показатель составляет 46 %.

     В краткосрочной перспективе следует  ожидать усиления роли ИБ-службы в  бизнес-процессах и ее влияния  в структуре российских организаций.

     Российские  компании понимают необходимость политики управления изменениями ИС и активно  внедряют ее, однако содержание реализованных  проектов еще не вполне соответствует  международным стандартам и требует  доработки.

     Существующие  тенденции в области управления изменениями ИС свидетельствуют, что в ближайшие годы Россия не только догонит, но даже превзойдет общемировой уровень.

     В современных условиях любая деятельность сопряжена с оперированием большими объемами информации, которое производится широким кругом лиц. Защита данных от несанкционированного доступа является одной из приоритетных задач при проектировании любой информационной системы. Следствием возросшего в последнее время значения информации стали высокие требования к конфиденциальности данных. Системы управления базами данных, в особенности реляционные СУБД, стали доминирующим инструментом в этой области. Обеспечение информационной безопасности СУБД приобретает решающее значение при выборе конкретного средства обеспечения необходимого уровня безопасности организации в целом.

     Для СУБД важны три основных аспекта  информационной безопасности - конфиденциальность, целостность и доступность. Темой  настоящей статьи является первый из них - средства защиты от несанкционированного доступа к информации. Общая идея защиты базы данных состоит в следовании рекомендациям, сформулированным для класса безопасности C2 в «Критериях оценки надежных компьютерных систем».

     Политика  безопасности определяется администратором  данных. Однако решения защиты данных не должны быть ограничены только рамками СУБД. Абсолютная защита данных практически не реализуема, поэтому обычно довольствуются относительной защитой информации - гарантированно защищают ее на тот период времени, пока несанкционированный доступ к ней влечет какие-либо последствия. Разграничение доступа к данным также описывается в базе данных посредством ограничений, и информация об этом хранится в ее системном каталоге. Иногда дополнительная информация может быть запрошена из операционных систем, в окружении которых работают сервер баз данных и клиент, обращающийся к серверу баз данных.

     В современных СУБД достаточно развиты  средства дискреционной защиты.

     Дискреционное управление доступам (discretionary access control) — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.

     Дискреционная защита является многоуровневой логической защитой.

     Логическая  защита в СУБД представляет собой  набор привилегий или ролей по отношению к защищаемому объекту. К логической защите можно отнести и владение таблицей (представлением). Владелец таблицы может изменять (расширять, отнимать, ограничивать доступ) набор привилегий (логическую защиту). Данные о логической защите находятся в системных таблицах базы данных и отделены от защищаемых объектов (от таблиц или представлений).

     Информация  о зарегистрированных пользователях  базы данных хранится в ее системном  каталоге. Современные СУБД не имеют  общего синтаксиса SQL-предложения соединения с базой данных, так как их собственный синтаксис сложился раньше, чем стандарт ISO.

     Доступ  к информации (access to information) - ознакомление с информацией, ее обработка (в частности, копирование), модификация, уничтожение.

     Субъект доступа (access subject) - лицо или процесс, действия которого регламентируются правилами  разграничения доступа.

     Объект  доступа (access object) - единица информации автоматизированной системы, доступ к  которой регламентируется правилами  разграничения доступа. Объектами доступа (контроля) в СУБД является практически все, что содержит конечную информацию: таблицы (базовые или виртуальные), представления, а также более мелкие элементы данных: столбцы и строки таблиц и даже поля строк (значения). Таблицы базы данных и представления имеют владельца или создателя. Их объединяет еще и то, что все они для конечного пользователя представляются как таблицы, то есть как нечто именованное, содержащее информацию в виде множества строк (записей) одинаковой структуры. Строки таблиц разбиты на поля именованными столбцами.

     Правила разграничения доступа (security policy) - совокупность правил, регламентирующих права субъектов  доступа к объектам доступа.

     Санкционированный доступ (authorized access to information) - доступ к информации, который не нарушает правил разграничения доступа.

     Несанкционированный доступ (unauthorized access to information) - доступ к  информации, который нарушает правила  разграничения доступа с использованием штатных средств, предоставляемых  средствами вычислительной техники или автоматизированными системами.

     Идентификатор доступа (access identifier) - уникальный признак  объекта или субъекта доступа.

     Идентификация (identification) - присвоение объектам и субъектам  доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

     Пароль (password) - идентификатор субъекта, который  является его секретом.

     Аутентификация (authentification) - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.

     В СУБД на этапе подключения к БД производится идентификация и проверка подлинности пользователей. В дальнейшем пользователь или процесс получает доступ к данным согласно его набору полномочий. В случае разрыва соединения пользователя с базой данных текущая транзакция откатывается, и при восстановлении соединения требуется повторная идентификация пользователя и проверка его полномочий.

     Уровень полномочий субъекта доступа (subject privilege) - совокупность прав доступа субъекта доступа (для краткости в дальнейшем мы будем использовать термин «привилегия»).

     Нарушитель  правил разграничения доступа (security policy violator) - субъект доступа, который  осуществляет несанкционированный  доступ к информации.

     Модель  нарушителя правил разграничения доступа (security policy violator model) - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.

     Целостность информации (information integrity) - способность  средства вычислительной техники (в рассматриваемом случае - информационной системы в целом) обеспечить неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).

     Метка конфиденциальности (sensitivity label) - элемент  информации, характеризующий конфиденциальность объекта.

     Многоуровневая  защита (multilevel secure) - защита, обеспечивающая разграничение доступа субъектов  с различными правами доступа  к объектам различных уровней  конфиденциальности. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

  1. Основная  характеристика гостиницы «АвтоДом» и предоставляемых ее услуг
 

     Сегодняшний бизнес не может существовать без  информационных технологий. Известно, что около 70% мирового совокупного  национального продукта зависят  тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема информационной безопасности. Недавнее исследование Британского Национального Компьютерного Центра (NCC), в котором участвовало 660 компаний, выявило более 7000 случаев нарушения информационной безопасности, допущенных в этих компаниях в течение последних двух лет. С момента проведения предыдущего исследования (т.е. за два года) средняя стоимость такого нарушения почти удвоилась и достигла 16 тыс. фунтов стерлингов (25,5 тыс. долл.). В качестве отдельных примеров в отчете NCC описываются следующие ситуации:  Ночной налет на офис компании. В результате кражи и вандализма утрачены данные на 16 персональных компьютерах. Материальные потери составили около 60 тыс. фунтов стерлингов.

           Используя доступ к  информационной системе, работник компании в течение двух лет нелегально переводил деньги на частный банковский счет. Общая сумма похищенных средств  — полмиллиона фунтов стерлингов.

           Пользователь установил  обновленную версию программы на свой ПК, подключенный к сети компании. Так как поставщик считался надежным, пользователь посчитал излишним проверять  дискеты. Программа оказалась зараженной вирусом, и дорогостоящая доверчивость пользователя обошлась компании в два дня простоя.

           Человеческая ошибка может быть также весьма дорогостоящей. В одной компании в результате ошибки оператора были уничтожены данные, эквивалентные недельному труду 15 сотрудников (около 12 тыс. фунтов стерлингов).

     Такие уроки не должны проходить бесследно, и несколько лет назад Британский Институт Стандартов (BSI) при поддержке  группы коммерческих организаций, среди  которых были Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и другие, приступил к разработке стандарта информационной безопасности, получившего впоследствии обозначение BS 7799. При разработке стандарта ставилась задача обеспечения государственных и коммерческих организаций инструментом для создания эффективных систем информационной безопасности на основе современных методов менеджмента. В редакции 1998 года стандарт является обобщением действительно самых передовых достижений в организации информационной безопасности на предприятии и в учреждении.

Информация о работе Информационная безопасность в современных системах управления организацией (на примере гостиничного комплекса «АвтоДом»)