 |
Система конфиденциальной информации фирмы
|
|
|
|
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное автономное образовательное учреждение
Высшего образования
«Севастопольский государственный университет»
Кафедра информационных
технологий и компьютерных систем
Методические указания
к выполнению практических работ
по дисциплине
«ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
для магистров очной формы обучения
по направлению подготовки
38.04.08 «Финансы и кредит»
профиль подготовки
«Финансовый мониторинг»
Севастополь
СОДЕРЖАНИЕ
1 ЛАБОРАТОРНАЯ РАБОТА №1.Система конфиденциальной информации фирмы.. 3
2 ЛАБОРАТОРНАЯ РАБОТА № 2. Оценка угроз безопасности. 10
3 ЛАБОРАТОРНАЯ РАБОТА №3.Моделирование разграничения доступа................................ 16
4 ЛАБОРАТОРНАЯ РАБОТА №4. Оценка стойкости парольной защиты.. 23
5 ЛАБОРАТОРНАЯ РАБОТА №5. Оценка экономической эффективности средств ЗИ........... 27
6 ЛАБОРАТОРНАЯ РАБОТА №6. Анализ рисков информационной безопасности............. 34
ЛАБОРАТОРНАЯ РАБОТА №1
Система конфиденциальной информации фирмы
Цель работы: ознакомиться с различными видами информации, циркулирующей на предприятии (фирме), методами защиты конфиденциальной информации.
1.1. Информация фирмы для принятия решений
Существуют различные подходы классификации информации, накапливаемой и циркулирующей на фирме. Информация, необходимая для принятия решений и потребляемая фирмой, может быть разделена на три группы:
- информация для стратегических решений;
- информация для тактических решений:
- информация для оперативных решений.
Для получения надлежащей информации необходимо выбрать базы для
|
|
|
наблюдения, которые предопределяются насущными потребностями, те в свою
очередь предопределяются поставленными целями. В этом заключается прин-
цип "ЗВ" (buts-besoins-bases) цели – потребности – базы.
Подготовка информации для принятия любого решения должна начинаться с определения целей, которые предопределяют потребности в информации, а затем и базы для наблюдения.
Стратегические цели (строительство новых предприятий, внедрение новой технологии, запуск в производство новой продукции) оказывают кардинальные изменения на функционирование фирмы. Эти цели предопределяют все последующие действия.
Стратегические потребности. Они включают в себя все, что может оказать долгосрочное влияние на деятельность предприятия.
На основании выявленных потребностей следует составить картотеку направлений для наблюдения. Примером могут служить следующие направления:
1. Тенденции по странам.
2. Технологический процесс:
- сырье;
- производственные технологии;
- окружающая среда.
3. Действующие лица:
- конкуренты (действительные и потенциальные);
- союзники и партнеры;
- кадры.
4. Диверсификация (распределение усилий и капиталовложений в разные виды деятельности (товары), не связанные друг с другом).
Информация для тактических решений. Тактическая цель заключается в выборе наилучшего средства достижения стратегической цели и в контроле неизменности условий, которые предопределили этот выбор (создание специализированного отдела продаж и т.д.)
Тактические потребности. Это может быть и выбор пути для достижения тактических целей. Здесь необходимо различать постоянную окружающую среду и переменную окружающую среду. При этом необходимо выбрать как первое, так и второе. Это различие связано с временной шкалой действий.
Потребности первого типа. Для правильного выбора необходимо знать общие характеристики каждой из сфер.
|
|
|
Потребности второго типа. Необходимо постоянно наблюдать за состоянием окружающей среды для своевременного выявления препятствий, которые могут явиться причиной значительных отклонений от намеченного пути.
В первом случае базы создаются по запросу. Во втором случае ведется
всеобъемлющее наблюдение за окружающей средой, т. к. неизвестно откуда
будут исходить угрозы.
Прежде всего, речь идет об опасностях рынка и, в частности, об определенных действиях конкурентов. Таким образом, небольшой перечень баз наблюдения, учитываемых на стратегическом уровне, удлиняется на тактическом следующими направлениями:
- основные области деятельности и виды продукции (нынешние и будущие);
- зоны и территории деятельности;
- производственные мощности и способ производства;
- патентная и лицензионная активность.
Информация для решения оперативных вопросов. На этом уровне стратегическая цель уже определена, путь ее достижения выбран. Теперь необходимо обеспечить продвижение вперед в наилучших условиях (количество проданной за день продукции).
Оперативные потребности. Речь идет о благоприятных возможностях или об угрозах. Во всех случаях требуется свежая, точная, надежная и целенаправленная информация, т.к. речь идет о максимально быстром реагировании.
Оперативные базы. Речь идет о ближайшем окружении фирмы, за которым необходимо следить с повышенным вниманием. Сюда, естественно, входят конкуренты и, главным образом, их коммерческая политика: ассортимент продукции, цены, рекламные компании и т.п., а также поставщики, клиенты, система торговли, субподрядчики.
Опыт показывает, что серьезная работа может начинаться со следующими базами:
- конкуренция (вся информация по действующим и потенциальным конкурентам);
- рынок (вся рыночная информация, вкусы и запросы потребителей,
каналы сбыта и т.п.);
- технология (производство и использование продукции);
- законодательство (вся информация по законодательству, затрагиваю-
щему деятельность фирмы);
- ресурсы (информация по материально-техническим ресурсам фирмы,
по сырью, навыкам, рабочей силе и финансам);
- общие тенденции (политические, экономические, социальные, демографические);
|
|
|
- прочие факторы.
Система стратегической и перспективной информации (ССПИ) выполняет, главным образом, стратегическую роль, а ее деятельность ориентирована на перспективу.
Система тактической и оперативной информации (СТОИ) использует контакты сотрудников фирмы с внешним миром, а также возможности межпрофессиональных встреч, таких как ярмарки, выставки и конференции (только узко специализированные).
Существуют два способа координации деятельности ССПИ и СТОИ:
один – в рамках централизованной организационной структуры, другой – в рам-
ках децентрализованной.
Информацию, необходимую для работы, предприятие получает из следующих источников.
Канал "Текст". (Общие публикации + специальные публикации и банки данных).
Канал "Фирма". Это контакты предприятия со всеми партнерами.
Канал "Консультант". (Общественные службы + консультанты + администрация).
Канал "Беседа". (Ярмарки, салоны и конференции).
Существует еще один канал "Джокер". Это неожиданный источник.
Для органов управления результатом является управленческое решение,
и чем выше его эффективность, тем лучше работает служба информирования,
способствующая его принятию.
Экономию времени руководителей и специалистов, занятых подготовкой решений за год, можно подсчитать по формуле
Эt =0,545 (∆tд*Зср.д*Nд +∆tи*Зср.и*Nи), (1.1)
где 0,545 – отношение числа месяцев в году к среднему числу рабочих дней в
месяце; ∆tд – экономия времени руководителей за счет информационного обес-
печения (дней в месяц); Зср.д – среднемесячная зарплата одного руководителя,
обеспечиваемого информацией (руб.); Nд – число руководителей, получивших
информацию и принявших ее к использованию; ∆tи; Зср.и; Nи – то же для специа-
листов, обеспечиваемых информацией и принимающих участие в подготовке
решений.
1.2. Конфиденциальная информация фирмы
Информация, используемая предпринимателем в бизнесе и управлении предприятием, банком, компанией или другой структурой, является его собственной или частной информацией, представляющей значительную ценность для предпринимателя. Эта информация составляет его интеллектуальную собственность.
|
|
|
Обычно выделяется два вида собственной информации:
· техническая, технологическая – методы изготовления продукции, программное обеспечение, основные производственные показатели и т.п.
· деловая – стоимостные показатели, результаты исследований рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.
Собственная информация предпринимателя в целях ее защиты может быть отнесена к коммерческой тайне и является конфиденциальной при соблюдении следующих условий:
· информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства и другие подобные факты;
· информация не должна быть общедоступной или общеизвестной;
· возникновение и получение информации должно быть законным;
· персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;
· предпринимателем должны быть выполнены действия по защите этой информации.
Ценную конфиденциальную деловую информацию, как правило, содержат:
· планы развития производства;
· деловые планы;
· планы маркетинга, бизнес-планы;
· списки держателей акций и другие документы.
Под конфиденциальным документом, понимается документ, к которому ограничен доступ персонала – это носитель ценной документированной информации.
Гриф ограничения доступа к документу – служебная отметка (реквизит), которая проставляется на носителе информации или сопроводительном письме.
Информация и документы, отнесенные к предпринимательской тайне, имеют 2 уровня грифов ограничения доступа, соответствующих различным степеням конфиденциальности информации:
· низший уровень – грифы «Конфиденциальная тайна»;
· второй уровень – «Коммерческая тайна», «Строго конфиденциально» под обозначением грифа всегда указывается номер экземпляра документа, срок действия грифа или иные условия его снятия.
Гриф конфиденциальности присваивается документу:
· исполнителем на стадии подготовки проекта документа;
· руководителем структурного подразделения или руководителем фирмы на стадии согласования или подписания документа;
· адресатом документа на стадии его первичной обработки в службе конфиденциальной документации.
Рис.1.1. Конфиденциальные данные
1. Научно-техническая. Здесь идет речь о новых идеях, открытия, патентах, оригинальных ноу-хау, современных методиках организации в производственной сфере, рационализаторских предложениях по внедрению неизвестных ранее и более совершенных технологий, появлению новых типов продукции, уникальных методах анализа конкурентоспособности, кодах и паролях, открывающих доступ к конфиденциальной информации, а также уникальное программное обеспечение.
|
|
|
2. Производственная. К данной категории можно отнести новые технологии в производственной сфере, секретную конструкторскую информацию, схемы и чертежи, данные о материалах, планируемое время выхода товара на рынок, планы выпуска новой продукции, рецептура изготовления товаров, планы дальнейших вложений в новое производство и так далее.
3. Финансовая. К конфиденциальной информации финансового характера относится реальный размер прибыли компании, себестоимость производства (или продукции), банковские или торговые сделки, механизм формирования ценовой политики, уровень платежеспособности и так далее.
4. Деловая. Здесь речь идет о следующих данных – условиях заключения договоров с другими участниками рынка, внутренней организационной системы, планирования рекламной компании на ближайшее время, информации о конкурирующих компаниях и поставщиках, данные о работниках компании и переговорном процессе с деловыми партнерами, информации о коммерческой переписке и так далее.
1.3. Исходные данные для проведения работы
Для проведения ЛР №1 используется следующая игровая ситуация:
Вы являетесь руководителем коммерческой фирмы, действующей в условиях рынка нашего региона, которая обладает собственными коммерческими секретами и занимается, например, одним из следующих видов деятельности:
A– производство электронных устройств;
B– разработка программных продуктов;
C– производство продуктов питания;
D– коммерческая деятельность (торговля бытовой радиоэлектроникой);
Е– бытовые услуги населению.
1.4. Задание
1.4.1. Определите название Вашей фирмы, вид ее деятельности, количество руководителей, емкость рынка фирмы, основных конкурентов, базы наблюдения и источники информации.
1.4.2. Составьте перечень информации, являющейся для Вашей фирмы оперативной, тактической и стратегической.
1.4.3. Руководство Вашей фирмы получило научно-техническую информацию, ускоряющую разработку Ваших продуктов (прогноз развития рынка или отрасли). Оцените (по формуле 1.1) экономию (в руб.) рабочего времени работы руководителей и специалистов, если получение этих сведений своими силами заняло бы 6 месяцев для 3-х ведущих специалистов.
1.4.4. Составьте перечень информации, составляющую для Вашей фирмы конфиденциальную и коммерческую тайну
1.4.5. Отчет о выполненной работе должен содержать описание п.1.4.1-1.4.4
Контрольные вопросы
1. Какова роль информации в проведении конкурентной борьбы?
2. Системы классификации информации на фирме.
3. Как выбрать базы для наблюдения?
4. Откуда черпать необходимую для работы предприятия информацию?
5. Система информации. Какой вклад вносит стратегическая, тактическая и оперативная информация в базы данных фирмы?
9. Какие виды конфиденциальной информации Вы знаете?
ЛАБОРАТОРНАЯ РАБОТА №2
Оценка угроз безопасности
Цель работы: изучить методику оценки угроз безопасности с помощью комплекса показателей, характеризующих отдельные угрозы.
1. ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ
1.1 Комплексная оценка угроз
Рассматривая цели, преследуемые нарушителем безопасности, следует акцентировать внимание на следующих: нарушение конфиденциальности, целостности и доступности защищаемой информации.
Для оценки угроз используются следующие показатели, обозначения и шкалы:
А - нарушаемые принципы безопасности:
1 - нарушение конфиденциальности личной, служебной и другой доверительной информации;
2 - нарушение целостности и достоверности хранимых данных с помощью специальных программ;
3 - нарушение доступности системы, данных и услуг всем уполномоченным пользователям;
4 - несоблюдение законов, правил, лицензий, договоров и этических норм при использовании информации.
Б - возможность предотвращения - оцениваются возможности предотвращения угрозы:
1 - легко; 2 - трудно; 3 - очень трудно; 4 - невозможно.
В - обнаружение угрозы - оценивается возможность обнаружения угрозы (автоматическая или ручная):
1 - легко; 2 - трудно; 3 -невозможно.
|
|
|
