Реферат : Как повысить информационную безопасность склада 


Полнотекстовый поиск по базе:

Главная >> Реферат >> Право, юриспруденция


Как повысить информационную безопасность склада




Как повысить информационную безопасность склада

Сегодня многие компании, столкнувшись с экономическими сложностями, сокращают свои затраты, в том числе и на информационную безопасность. Тем не менее обостряющаяся конкурентная борьба и низкая лояльность сотрудников ведут к увеличению рисков информационной безопасности.

Небезопасная конфигурация беспроводной сети

Большинство российских компаний сейчас только формирует процессы управления информационной безопасностью и на этом этапе имеет типовые проблемы, вытекающие из неэффективности существующих процессов. Какие проблемы наиболее актуальны? Использование каких технологий требует повышенного внимания к вопросам информационной безопасности? Какие меры по защите данных должны быть приняты в первую очередь?

Современный склад не может обойтись без такой удобной технологии, как беспроводная сеть. Складские решения с ее применением позволяют улучшить производительность работников склада, максимально автоматизировать учет и уменьшить число ошибок ручного ввода. Однако ошибки, совершенные при развертывании и настройке сети, могут позволить беспрепятственно проникать в нее внешним злоумышленникам. Наиболее серьезной ошибкой является использование уязвимого протокола безопасности.

Для защиты беспроводной сети используются специальные протоколы, которые должны обеспечивать доступ к сети только тем, кому он действительно необходим, а также обеспечивать передачу данных только в зашифрованном виде. Одним из первых протоколов безопасности беспроводной сети был протокол WEP, который широко используется сейчас как во всем мире, так и в России. Еще в 2001 году в протоколе были обнаружены серьезные недостатки, позволяющие злоумышленникам легко получить пароль для доступа к сети. Причиной широкого использования этого небезопасного протокола является то, что он поддерживается практически всеми беспроводными устройствами и легко настраивается.

Пример. Для получения доступа к сети, защищенной протоколом WEP, злоумышленнику достаточно лишь набрать несколько команд. Незащищенная беспроводная сеть позволит злоумышленникам незаметно осуществлять проникновение в корпоративную сеть компании, разместившись в припаркованном рядом со складом автомобиле. Оказавшись в корпоративной сети, злоумышленники смогут атаковать серверы критичных информационных систем. Получив доступ к корпоративным системам, хакеры имеют возможность сделать все, что угодно: украсть финансовую информацию, данные клиентов, внести изменения в данные о товарных остатках, сроках годности товара, внедрить компьютерный вирус. Так, американская сеть оптовых супермаркетов BJ Warehouse Club подверглась ряду атак хакеров, проникавших в ее сеть, используя уязвимости в беспроводной сети. Результатом взлома стало осуществление мошеннических покупок с помощью данных кредитных карт покупателей BJ Warehouse Club на сумму свыше $10 млн.

Настройки по умолчанию

Самой распространенной серьезной уязвимостью является использование паролей, установленных по умолчанию. Эта очень часто встречающееся явление, обусловленное тем, что установщики программного и аппаратного обеспечения в большой степени обеспокоены тем, чтобы заставить работать систему так, как положено, и очень часто при этом игнорируют информационную безопасность. Они просто забывают сменить пароли для системных учетных записей, обладающих наиболее полными привилегиями в системе, оставляя их такими, как они были заданы производителем.

Важно иметь возможность проводить расследования. Защититься от атак злоумышленников на 100% никогда не получится, поэтому необходимо всегда помнить о возможности возникновения инцидента информационной безопасности, который нужно будет расследовать. Иногда IТ-специалисты полностью отключают регистрацию действий пользователей, так как она создает дополнительную нагрузку на систему и требует внимания. В подобном случае компания может даже не узнать о том, что ее сеть была взломана, и конкуренты получают данные о ее деятельности более оперативно, чем руководство самой компании.

Как управлять информационной безопасностью

Существование недостатков в системе обеспечения информационной безопасности связано в первую очередь с отсутствием процессов управления в ней. Как создать эффективную систему управления?

Во-первых, необходимо заручиться поддержкой руководства компании, которое должно осознать возможные последствия игнорирования вопросов информационной безопасности склада и выделить необходимые ресурсы. Последствиями могут быть финансовые потери, ущерб имиджу компании, проблемы с регулирующими органами. Представьте себе, что будет устроена атака «Отказ в обслуживании» на беспроводную сеть компании, систему управления складом, вследствие чего склад не сможет функционировать на прежнем уровне? Каков ущерб, допустим, от мошеннических операций, осуществляемых с помощью складских систем? Есть ли у руководства компании желание нести гражданскую, уголовную, административную, дисциплинарную ответственность за нарушение Федерального закона «О персональных данных»?

Во-вторых, необходимо провести классификацию информации и понять, какие данные являются наиболее критичными и в каких системах они обрабатываются. Для каждого вида информации определяется ее критичность – как минимум по степени конфиденциальности. Обычно компании используют такие категории, как «Общедоступная информация», «Персональные данные», «Коммерческая тайна». Руководитель склада как владелец бизнес-процессов должен принять активное участие в процессе классификации информации, с которой работают его подчиненные. Понимание того, какая информация и какие системы нуждаются в более серь-езной защите, позволят компании сконцентрироваться на самом важном.

В-третьих, необходимо выявить существующие в компании проблемы информационной безопасности, для чего необходимо проведение комплексного аудита. В чем он заключается? Как известно, в обеспечении информационной безопасности задействованы процессы, технологии и люди. Поэтому в ходе аудита проверяются все три составляющие.

При проведении аудита процессов анализируются существующие документы по информационной безопасности и то, как реально функ-ционируют процессы управления информационной безопасностью в организации. В качестве критериев аудита часто используются положения международ-ного стандарта ISO 27001:2005. В ходе технического аудита выявляются уязвимости беспроводной сети, используемого компанией программного и аппаратного обеспечения, позволяющие злоумышленникам получать несанкционированный доступ к данным. Очень эффективным является тестирование на возможность несанкционированного проникновения, в ходе которого осуществляется имитация действий реальных злоумышленников.

В ходе комплексного аудита также проверяется, насколько сотрудники устойчивы к атакам злоумышленников, использующим методы социальной инженерии. Аудиторы связываются с сотрудниками компании по электронной почте, телефону, через социальные сети (сайты «Однаклассники.ру», «Вконтакте.ру» и др.) и пытаются обманным способом получить важную информацию (например, пароли для доступа к информационным системам). Результатом аудита является составление перечня существующих проблем с указанием уровня риска, связанного с каждой из них. Объективно оценить уровни рисков можно как раз благодаря проведенной классификации информации и пониманию, в какой системе какая информация обрабатывается.

Как обеспечить безопасность во время кризиса

Информационная безопасность является затратной статьей бюджета, а сейчас на затратах принято экономить. В то же время бизнес не хочет терять деньги из-за проблем с информационной безопасностью. Какие существуют возможности решения этих проблем во время кризиса?

Процессы управления информационной безопасностью. Далеко не всегда проблема информационной безопасности решается покупкой очередного дорогостоящего средства защиты информации. Так, основную массу задач можно решить с помощью внедрения необходимых процессов управления информационной безопасностью. Наибольшее внимание следует уделить процессам информационной безопасности, связанным с управлением логическим доступом к информационным системам (процедуры предоставления доступа к информационным системам, блокировки учетных записей уволенных сотрудников), обнаружением и устранением уязвимостей в программном обеспечении, управлением инцидентами информационной безопасности и обучением сотрудников. Так, например, своевременная блокировка учетных записей уволенных со склада сотрудников и наличие у пользователей лишь минимально возможных привилегий в системах уменьшат риск осуществления мошеннических операций.

Настройка существующих систем. Современное программное и аппаратное обеспечение включает встроенные механизмы обеспечения информационной безопасности, настройка которых в соответствии с рекомендациями производителей позволит значительно повысить уровень защищенности. Уровень защищенности информации, обеспечиваемый встроенными механизмами информационной безопасности систем, должен периодически проверяться в ходе аудита информационной безопасности. Использование программного обеспечения с открытым исходным кодом. Сейчас доступны бесплатные средства защиты информации, такие как антивирусы, межсетевые экраны, системы обнаружения вторжений и сканеры уязвимостей. Наиболее известные программные продукты имеют многолетнюю историю и широко используются во всем мире. Единственным их недостатком является отсутствие гарантированной технической поддержки, что, впрочем, компенсируется большим количеством профессиональных почтовых рассылок и форумов в сети интернет.

Аутсорсинг информационной безопасности. Компании доверяют свои деньги банкам, а обеспечение физической безопасности – охранным агентствам. Почему не распространить данный подход и на информационную безопасность? Передача части функций информационной безопасности на аутсорсинг позволит компании сократить свои затраты на квалифицированный персонал. На мой взгляд, передавать на аутсорсинг можно разработку и внедрение процессов управления информационной безопасностью и периодический контроль их эффективности, осуществляемый посредством комплексного аудита информационной безопасности. В этом случае ключевые процессы управления информационной безопасностью остаются полностью в компании и поддерживаются IТ-специалистами, руководителями бизнес-подразделений, сотрудниками отдела кадров и службы физической безопасности.

Беспроводная сеть

Cеть, не использующая кабель для связи компонентов. Каналы беспроводной сети проложены через эфир. Обратите внимание, cамыми распространенными паролями по умолчанию являются «Admin» и «Administrator», которые легко угадываются злоумышленниками, получившими доступ к корпоративной сети

ДОКУМЕНТ

Обратите внимание

Устранение обнаруживаемых в ходе аудита недостатков позволит совершенствовать систему управле-ния информационной безопасностью и держать риски на приемлемом для бизнеса уровне

Проблемы информационной безопасности в российских компаниях:

небезопасная конфигурация используемого программного и аппаратного обеспечения;

использование паролей, установленных по умолчанию;

избыточные привилегии у пользователей информационных систем;

возможность использования для мошеннических операций учетных записей уволенных сотрудников;

невыполнение требований по защите персональных данных;

отсутствие мер, позволяющих проводить расследование инцидентов информационной безопасности;

низкая информированность пользователей об угрозах информационной безопасности.

Читать дальше: http://logistic-forum.lv/info/informacionnaja-bezopasnost#ixzz1TyzPFwHZ

Список литературы

Для подготовки данной работы были использованы материалы с сайта http://logistic-forum.lv/

Похожие работы:

  • Информационная безопасность Российской Федерации

    Реферат >> Политология
    ... информационная опасность, информационная угроза и информационная безопасность. Информационная опасность определяется двояко: • как ... информационные технологии позволили резко повысить эффективность ... системой мотивации, психическим складом, менталитетом и ...
  • Проблемы информационной безопасности банков

    Реферат >> Банковское дело
    ... значительно повысить производительность ... как наиболее актуальной, сложной и насущной проблеме в сфере банковской информационной безопасности. В работе рассматриваются особенности информационной безопасности ... темперамента и склада харак­тера целесообразно ...
  • Корпоративные информационные системы

    Реферат >> Менеджмент
    ... Inventory Transaction Subsystem (Управление складом). Scheduled Receipts Subsystem ... Systems сделав существенно повысив уровень качества обслуживания ... такую важную проблему, как обеспечение информационной безопасности. Для предотвращения несанкционированного ...
  • Информационные системы и технологии

    Курсовая работа >> Информатика, программирование
    ... Как соотносятся информационная технология и информационная система Информационная технология тесно связана с информационными ... организация защиты и безопасности информации. Признак деления ... информационных технологий и систем на этом уровне существенно повысит ...
  • Информационное обеспечение управления предприятием

    Реферат >> Менеджмент
    ... как правило, с программы «1С: Бухгалтерия». Для автоматизации склада ... Выясним как информационные технологии позволяют повысить эффективность управленческого ... 4ОРГАНИЗАЦИЯ БЕЗОПАСНОСТИ ЖИЗНИДЕЯТЕЛЬНОСТИ 4.1 Значение и задачи безопасности труда Безопасность ...
  • Информационные технологии в системах управления гостиничным предприятием

    Дипломная работа >> Менеджмент
    ... информационные технологии (рис. 1.2). Рис. 1.2 – Информационные технологии в организации «Информационный менеджмент» как ... гостиницы, повысить финансовые показатели ... за состоянием складов, деятельностью персонала ... уделено вопросу информационной безопасности. В ...
  • Информационное производство в расширенном общественном воспроизводстве

    Курсовая работа >> Промышленность, производство
    ... государства, важнейшим фактором обеспечения его безопасности. В связи с этим неслучайно появление в ... стали пользоваться услугами информационного производства, что, естественно, повысило требования к информационным продуктам и услугам, к обеспечению ...
  • Информационная система предприятия

    Курсовая работа >> Коммуникации и связь
    ... держать на складах детали, с помощью информационных технологий (ИТ ... кабеля. Скручивание позволяет повысить помехоустойчивость и снизить влияние ... по проектированию и внедрению систем информационной безопасности как комплекса организационных, процедурных и ...
  • Информационная логистическая система

    Курсовая работа >> Менеджмент
    ... информационная логистика рассматривалась как информационное обеспечение ... в той или иной степени складов и других производственных подразделений и ... по технике безопасности). Передача и прием информационных потоков ... логистической цепи. Повысив ее эффективность, ...
  • Информационная служба фирмы

    Реферат >> Менеджмент
    ... информационно - аналитической работы для безопасности ... повысить уровень профессиональной подготовки каждого сотрудника фирмы. Информационным ... информационного дефицита. В наши дни, как и прежде, информационный ... производственных подразделений и складов. 7.Способ ...