К угрозам безопасности на факультете заочного обучения "Пермской ГСХА" можно отнести:
· информационные:
Ø несанкционированный доступ к информационным ресурсам;
Ø хищение информации из архивов и баз данных;
Ø нарушение технологии обработки информации.
· физические:
Ø нарушение технологии обработки информации;
Ø хищение носителей информации;
Ø воздействие на персонал.
· организационно правовые:
Ø использование устаревших программных и аппаратных средства обработки информации;
Ø отсутствие контроля доступа в некоторых помещения факультета.
Наиболее существенными угрозами безопасности на факультете заочного обучения являются следующие угрозы: хищение персональной информации студентов факультета, несанкционированное внесение изменений в персональную информацию студентов и личные карточки студентов, ошибки сотрудников факультета при внесении данных в личные дела и карточки студентов.
Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
На предприятии применяются следующие средства защиты:
· аппаратные:
Ø замки;
Ø защитная сигнализация;
Ø сетевые фильтры.
· программные:
Ø защита учётных записей паролем;
Ø антивирусная защита.
· организационные:
Самым уязвим местом в системе безопасности можно назвать сотрудников предприятия и программно - аппаратные средства. В частности на факультете заочного обучения "Пермский" ГСХА: не выполняется резервное копирование данных на персональных компьютерах сотрудников факультета - при отказах оборудования некоторые важные данные могут быть потеряны; не выполняется обновление операционной системы MS Windows XP и использующегося ПО, что может привести к несанкционированному доступу к хранящейся на ПК информации или её повреждению из-за ошибок в ПО; доступ сотрудников к ресурсам Интернета не контролируется, из-за этого может произойти утечка данных; деловая электронная переписка ведётся через Интернет по незащищённым каналам, сообщения электронной почты хранятся на серверах почтовых служб в Интернете; некоторые сотрудники имеют недостаточные навыки работы с автоматизированными системами, используемыми в академии, что может привести к появлению в системе неверных данных; сотрудники имеют доступ к персональным компьютерам своих коллег, что по неосторожности может привести к потере данных; доступ в архив имеют все сотрудники факультета, в результате чего некоторые личные дела могут быть потеряны или их поиск может занять длительное время; отсутствуют нормативные документы по безопасности.
Главной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение разглашения, утраты, утечки, искажения и уничтожения служебной информации и персональной информации, обеспечение нормальной производственной деятельности всех подразделений объекта.
Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности.
Задачи формирования системы информационной безопасности в организации являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована.
Создание систем информационной безопасности в ИС и ИТ основывается на следующих принципах:
Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.
Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.
Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление, как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.
Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.
Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.
Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.
Обеспечение всевозможных средств борьбы с вредоносными программами.
Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.
Выявленные недостатки на предприятии требуют их устранения, поэтому предлагается проведение следующих мероприятий.
· регулярное резервное копирование данных (текущих документов, списков групп в электронном виде) на персональных компьютерах сотрудников предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов, внесении неверных изменений в документы;
· использовать встроенные в операционную систему и другие программные продукты средства автоматического обновления во избежание угрозы несанкционированного доступа к ПК;
· использовать потоковую фильтрацию Интернет трафика сотрудников факультета и блокировать его для предотвращения передачи конфиденциальных данных;
· использовать корпоративный почтовый сервер для ведения деловой переписки, обмена документами с другими сотрудниками академии и представительствами;