Классификация угроз. Ущерб информационной безопасности предприятия.
Существует несколько видов классификации угроз информационной безопасности объекта; угрозы делят:
- по источнику (его местонахождению) – на внутренние и внешние;
- по вероятности реализации – на потенциальные и реальные;
- по размерам наносимого ущерба - на общие, локальные и частные;
- по природе происхождения - на случайные и преднамеренные
- по предпосылкам возникновения – на объективные и субъективные;
- по видам объектов безопасности – на угрозы собственно информации, угрозы персоналу объекта, угрозы деятельности по обеспечению информационной безопасности.
IT-oбласть
Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступления могут использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного.
QA QAH - компьютерный абордаж,QAI – перехват,QAT - кража времени,QAZ - прочие виды несанкционированного доступа и перехвата
QD QUL - логическая бомба,QDT - троянский конь,QDV - компьютерный вирус,QDW - компьютерный червь,QDZ - прочие виды изменения данных
QF
QFC - мошенничество с банкоматами.QFF - компьютерная подделка.QFG - мошенничество с игровыми автоматами.QFM - манипуляции с программами ввода-вывода.QFP - мошенничества с платежными средствами.QFT - телефонное мошенничество.QFZ - прочие компьютерные мошенничества
QR
QRG - компьютерные игры.QRS - прочее программное обеспечение.QRT - топография полупроводниковых изделий.QRZ - прочее незаконное копирование
QS
QSH - с аппаратным обеспечением.QSS - с программным обеспечением
QSZ - прочие виды саботажа
QZ
QZB - с использованием компьютерных досок объявлений.QZE - хищение информации, составляющей коммерческую тайну.QZS - передача информации конфиденциального характера.QZZ - прочие компьютерные преступления
|
№22
Политика информационной безопасности предприятия
Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.
Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала:
- определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации
- изложение целей и принципов информационной безопасности, сформулированных руководством
- краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например, таких как:
* соответствие законодательным требованиям и договорным обязательствам;
* требования в отношении обучения вопросам безопасности;
* предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
* управление непрерывностью бизнеса;
* ответственность за нарушения политики безопасности.
|
- определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности
- ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.
Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме.
Для того чтобы политика информационной безопасности не оставалась только «на бумаге» необходимо, чтобы она была:
- непротиворечивой – разные документы не должны по разному описывать подходы к одному и тому же процессу обработки информации
- не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей
- не налагала невыполнимых обязанностей и требований.
В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.
№23
Защита электронного документооборота /списано из конспекта/
Протокол передачи информации – правила передачи.
Существует два подхода для передачи конфиденциальной информации:
1. Технология закрытых ключей – симметричная.
Используется 1 ключ бит, 12 бит) Это слово знают и передающая и отдающая сторона.
2. Технология открытых ключей – ассиметричная.(в РФ ассиметричная)
|
Используется 2 ключа.
1ый открытый(в свободном доступе) -используется для шифрования.
2ой ключ закрытый о либо только передающая стона, либо передающая и получающая сторона).
Открытый ключ используется для шифрования, закрытый для расшифровки.
!1)физические способы защиты,2)законодательные методы3)апартно-программные методы
№24
Защита интеллектуальной собственности
Согласно статье 138 Гражданского Кодекса Российской Федерации Интеллектуальная собственность – это исключительное право гражданина или юридического лица на результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации юридического лица, индивидуализации продукции, выполняемых работ или услуг (фирменное наименование, товарный знак, знак обслуживания и т.д.)
В соответствии с пунктом VIII ст. 2 Конвенции об учреждении Всемирной организации интеллектуальной собственности (ВОИС) от 14 июля 1967 г. объектами интеллектуальной собственности являются:
1) литературные, художественные произведения и научные труды;
2) исполнительская деятельность артистов, фонограммы и радиопередачи;
3) изобретения во всех областях человеческой деятельности;
4) научные открытия;
5) промышленные образцы;
6) товарные знаки, знаки обслуживания и коммерческие наименования и обозначения;
7) пресечение недобросовестной конкуренции.
защита прав интеллектуальной собственности - это предусмотренная законодательством деятельность уполномоченных государством органов исполнительной и судебной власти по признанию, возобновлению и устранению препятствий, которые мешают субъектам права интеллектуальной собственности реализации их прав и законных интересов.
№25
Фазы управления фирмы.
1-я фаза — фаза планирования;
2-я фаза — фаза учета;
3-я фаза — фаза контроля;
4-я фаза — фаза анализа;
5-я фаза — фаза выработки ряда альтернативных решений или определение оптимального решения;
6-я фаза — фаза реализации одного или нескольких из этих альтернативных решений.
Первая фаза управления — фаза планирования — была, есть и будет одной из самых важных. Это связано с тем, что в процессе реализации работ, связанных с планированием деятельности объекта управления, необходимо учитывать не только параметры объекта управления, характеризующие его состояние, но и целый ряд параметров внешней среды, которые могут оказать существенное воздействие на конечные результаты управления.
В процессе выполнения фазы учета собирается информация о конкретных значениях параметров, характеризующих состояние объекта управления. При этом основной задачей, является сбор конкретной достоверной и объективной информации о состоянии объекта управления.
Фаза контроля предусматривает проведение работ по сравнению фактических значений параметров с заранее заданными (плановыми).
В процессе реализации фазы анализа производится определение истинных причин, воздействие которых привело к появлению отклонений фактических параметров состояния объекта управления от раннее заданных (плановых).
На основании выявленных истинных причин отклонения на стадии выработки ряда альтернативных решений разрабатывается ряд допустимых решений, где целевыми функциями, а также граничными и начальными условиями будут выступать параметры, которые описывают состояние объекта управления.
На стадии фазы реализации принятого решения осуществляется выполнение выработанного оптимального решения или нескольких выработанных решений. На этой стадии также определяются необходимые силы и средства, а также порядок реализации выработанного решения. Субъекты управления выполняют принятое решение, используя выделенные силы и средства.
№26
Стратегический менеджмент предприятия
Стратегический менеджмент на предприятии – система поведения предприятия на длительный период времени, означающая выбор одного из альтернативных направлений его экономического развития и механизма выживания в цивилизованных рыночных отношениях.
3 направления
1. Расширение производства
2. Выпуск продуктов другого вида
3. Улучшения сервисного обслуживания.
№27
Стратегический план предприятия. Его характеристика и основные разделы.
Стратегический план - комплексный план действий, реализация которого приведет к достижению целей предприятия и поможет осуществлению его миссии.
Стратегический план включает:
1. Цели и задачи стратегической деятельности предприятия.(Является ориентиром к внедрению стратегических направлений, целевых установок и задач. В этом разделе отражено одно из трех стратегических направлений и соответствующие ему целевые установки.)
2. Обобщенное резюме, основные параметры и показатели стратегии.(В этом разделе раскрывается значимость данного предприятия для экономики и социального развития страны и региона, представлены основные параметры стратеги. К основным параметрам стратегии относятся финансовые показатели (внутренние и внешние инвестиционные вложения)
3. Характеристика продукции(В этом разделе отражены технические показатели потребительских свойств продукции, особенности технологии её изготовления, преимущественно по сравнению с аналогичной продукцией и др.)
4. Анализ и оценка конъюнктуры рынка сбыта.(В этом разделе отражаются прежде всего особенности сегмента рынка, на который ориентируются стратегические целевые установки предприятия. Анализ характера продаж, анализ деятельности конкурента, анализ свойств потребителя. Где, кому, и когда будет сбываться продукция.)
5. Производственная программа(Отражение номенклатуры и количества продукции. Расчет себестоимости и расчет цены продажи каждой номенклатуры. Один из ключевых разделов. Основывается на анализе рынков сбыта.)
6. Ресурсное обеспечение стратегических целевых установок.(Этот раздел предусматривает определение состава и стоимости основного оборудования, норм расхода на сырье с указанием предполагаемых цен, альтернативных путей поставок оборудования и сырья, а также квалификации требуемого числа работников.)
7. Финансовый план.(Является центральным разделом всего стратегического плана. В нем отражена вся информация по годам реализации стратегического плана. Учитывает все расходы по годам, прибыль. Основывается на предыдущих разделах.)
8. Эффективность стратегических решений(Учитываются экономические достижения предприятия по годам реализации стратегического плана)
9. Организационный план реализации стратегии целевых установок(Графики выполнения условий управления.)
№28
Вопрос 28. Информационные технологии управления персоналом.
Управление персоналом, его задачи:
1) планирование персонала
2) организация персонала
3) учёт персонала
4) мотивация персонала
5) контроль персонала
2 документа:
- штатное расписание; регламент рабочего времени
Система управления базы данных:
MS SQL< 3000 чел.;Oracle > 3000 чел.
3 подхода реализации программных продуктов в управлении персоналом
1) использование специализированных программных продуктов управления персоналом
2) комбинирование специализированных продуктов и пакета прикладных программ
3) использование только пакета прикладных программ
Операции при реализации задач управления персоналом в условиях применения информационных технологий
1) кадровый учёт
2) управление штатным расписанием
3) расчёт заработной платы
4) документационное управление
5) управление юридическими вопросами
6) решение стратегических вопросов развития предприятия
№29
Операции при реализации задач управления персоналом в условиях применения информационных технологий
1) кадровый учёт(ввод основных сведений о сотруднике припримемк его на работу,ведение карты перемещений,повышение квалификации)
2) управление штатным расписанием(разработка шр,внесение дополнений и изменений,прогнозирование фонда оплаты труда)
3) расчёт заработной платы(ведение картотеки лицевых счетов,поддержка различных систем оплаты труда,расчет больничных,отпускных)
4) документационное управление(создание единого электронного архива,коллективная обрабока документов)
5) управление юридическими вопросами(поиск любых нормативно правовых документов и их совокупность
6) решение стратегических вопросов развития предприятия (анализ соответствия работника занимаемой должности,планирование карьеры работника,подбор кадров)
№30