Обеспечение информационной безопасности предприятия ОАО ОХК «Уралхим»

-учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

-обеспечение оценки степени конфиденциальной информации;

-обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

 Система защиты информации  как любая система должна иметь  определенные виды собственного  обеспечения, опираясь на которые  она будет выполнять свою целевую  функцию. С учетом этого СЗИ  может иметь: 

-правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;

-организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;

-аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;

-информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;

-программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

-математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;

-лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

-нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.[2]

Удовлетворить современные  требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

1.2. Концептуальная  модель информационной безопасности.

Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

Практика показала, что  для анализа такого значительного  набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется  как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она  проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.

Можно предложить следующие  компоненты модели информационной безопасности на первом уровне декомпозиции.

Такими компонентами концептуальной модели безопасности информации могут быть следующие:

-объекты угроз;

-угрозы;

-источники угроз;

-цели угроз со стороны злоумышленников;

-источники информации;

-способы неправомерного овладения конфиденциальной информацией (способы доступа);

-направления защиты информации;

-способы защиты информации;

-средства защиты информации.

Объектом угроз информационной безопасности выступают сведения о  составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности, кон-фиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознаком-ление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение  конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и  криптографические методы. Последние  могут быть реализованы как аппаратно, программно, так и смешанно-программно-аппаратными средствами.

В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.

 Концепция безопасности  является основным правовым документом, определяющим защищенность предприятия  от внутренних и внешних угроз. 

1.3. Угрозы конфиденциальной  информации 

Под угрозами конфиденциальной информации принято понимать потенциальные  или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:

-ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

-модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

-разрушение (уничтожение) информации, как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально – значительно, или хотя бы частично. Но и это удается далеко не всегда. [6]

С учетом этого угрозы могут  быть классифицированы по следующим  кластерам :

по величине принесенного ущерба:

-предельный, после которого фирма может стать банкротом;

-значительный, но не приводящий к банкротству;

-незначительный, который фирма за какое-то время может компенсировать и др.;

по вероятности возникновения:

-весьма вероятная угроза;

-вероятная угроза;

-маловероятная угроза;

по причинам появления:

-стихийные бедствия;

-преднамеренные действия;

по характеру нанесенного ущерба:

-материальный;

-моральный;

по характеру воздействия:

-активные;

-пассивные;

по отношению к объекту:

-внутренние;

-внешние.

Источниками внешних  угроз являются:

-недобросовестные конкуренты;

-преступные группировки и формирования;

-отдельные лица и организации административно-управленческо-го аппарата.

Источниками внутренних угроз могут быть:

-администрация предприятия;

-персонал;

-технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и  внутренних угроз на усредненном  уровне можно охарактеризовать так:

82% угроз совершается собственными  сотрудниками фирмы либо при  их прямом или опосредованном  участии; 

17% угроз совершается извне  - внешние угрозы;

1% угроз совершается случайными  лицами.

Основой мер, предпринимаемых  руководством организации, является политика безопасности. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области  информационной безопасности, а так  же ту меру внимания и количество ресурсов, которую руководство считает  целесообразным выделить.

Определение политики ИБ должно сводиться к следующим шагам:

1. Определение используемых руководящих документов и стандартов в области ИБ, а так же основных положений политики ИБ, включая

• управление доступом к  средствам вычислительной техники, программам и данным;

• антивирусную защиту;

• вопросы резервного копирования;

• проведение ремонтных  и восстановительных работ;

• информирование об инцидентах в области ИБ.

2. Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
3. Структуризация контрмер по уровням.
4. Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ. [3]

2. Практическая  часть

2.1 Характеристика  ОАО «Азот»

Объектом исследования данной курсовой работы является  Филиал «Азот» ОАО «ОХК «УРАЛХИМ» Россия, Пермский край, г.    Березники, Чуртанское шоссе, 75.

Природные условия Западного  Урала, близость реки Камы создали благоприятные  условия для строительства в  этом регионе крупного предприятия  по выпуску синтетического аммиака. В 1929 году началось строительство химического  комбината. С 11 марта 1932 года первая очередь  завода вступила в строй, 23 апреля 1932 года был выдан первый отечественный  аммиак - основной продукт и сырье  для других производств. Этот день и  считается днем основания Березниковского «Азот».

С 14 декабря 2010 г. – прекращена деятельность ОАО «Азот» в связи с реорганизацией в форме присоединения к ОАО «ОХК «УРАЛХИМ». Все имущество производственного комплекса передано Филиалу «Азот» ОАО «ОХК «УРАЛХИМ» в г. Березники.

Реорганизация позволила  повысить операционную эффективность  группы компаний ОАО «ОХК «УРАЛХИМ»  за счет снижения количества сделок, заключаемых  внутри группы. Переход на единую акцию  существенно сократило административные издержки и расходы на управление, а также повысило эффективность  управления финансовыми потоками внутри группы «УРАЛХИМ». Сейчас среднесписочная  численность предприятия составляет 3456 человек.

Основу деятельности Филиала ''Азот'' составляет единый производственный процесс, который представляет совокупность частных производственных процессов при комплексном использовании средств производства и трудовых ресурсов.

В состав предприятия входят:

• Два крупнотоннажных агрегата аммиака;
• Десять – слабой азотной кислоты;
• Два – гранулированной аммиачной селитры;
• Один – карбамида;
• Цехи: концентрированной азотной кислоты, водоустойчивой аммиачной селитры, аргона, высших алифатических аминов, нитрит нитратных солей.

Основным видом деятельности филиала «Азот» является производство минеральных удобрений и другой химической продукции. Ассортимент  выпускаемой продукции на предприятии составляет около 25 наименований, но наиболее известно потребителям как производитель высококачественных азотных удобрений – карбамида, аммиачной селитры и химического сырья аммиака и азотной кислоты.

Филиал «Азот» – является единственным предприятием в России производящим высшие алифатических  амины, калиевую и натриевую селитру, а так же кристаллический нитрит натрия. Объем продаж в 2010 г. составил более 1,91 млн. тонн товарной продукции. В частности, выработано более 1 млн. тонн гранулированной аммиачной селитры. По сравнению с показателями 2009 года увеличение составило 3,5 %. Отрасль производства минеральных удобрений достаточно быстро восстановилась после последствий мирового экономического кризиса 2008-2009 гг., мировой спрос и цены достигли докризисного уровня, а по ряду продуктов – уже превысили его. Это подтверждает то, что в глобальном масштабе отрасль продолжает оставаться одним из самых стабильно растущих сегментов экономики. Значительное увеличение продаж, в основном, обеспечено высоким спросом на минеральные удобрения в России и за рубежом.