· Електронні таблиці – Excel. Призначені для створення таблиць, обробки числових та символьних даних, побудови діаграм та графіків.
· СУБД (система управління базами даних) – Access. Створення, обробка та управління БД.
· 1С:Управление торгівлею 8 – програма для бухгалтерського обліку підприємства.
· Антивірусні програми – DrWeb, AVP. Призначені для профілактики та виявлення вірусів, лікування заражених об’єктів, захисту програм і даних.
· Програми зв’язку: Skype, ICQ, EmailPro для дешевого та якісного зв’язку між відділами та філіями.[14,15]
1.4 Система документообігу на підприємстві «WED»
Схеми руху документів документообіг - рух документів з організації з моменту їх отримання чи утворення до завершення виконання чи відправки. Вірна організація документообігу на підприємстві “WED ”сприяє оперативному проходженню документів в контурі управління, пропорційному завантаженню підрозділів та посадових осіб, що здійсняю позитивний вплив на процес управління в цілому. Документообіг на підприємстві “WED ”здійснюється у вигляді потоків документів, що циркулюють між пунктами обробки (керівники установи та підрозділів, спеціалісти, службовці) та пунктами технічної обробки самих документів.
Вимоги до потоків документів у підприємстві “WED”:
1) рух документів повинен бути прямоточним, тобто виключати непрямі маршрути;
2) принцип однократного перебування документа в одному структурному підрозділі чи в одного виконувача.[15]
Різні операції по обробці документів працівники підприємства виконують паралельно, щоб скоротити час перебування у сфері діловодства та підвищити оперативність виконання. При проектуванні раціональних документопотоків на підприємстві складають схеми руху основних груп та видів документів. Це дозволяє встановити раціональні маршрути руху та етапи обробки документів, уніфікувати шляхи руху, порядок обробки різних їх категорій. У додатку 1.5 представлена схема документообігу між філіями підприємства “WED”. В табл 1.1 зображені основні документи, які потрібні для функціонування системи документообігу між центральним офісом “WED” та його філіями.[16]
Система документообігу на підприємстві “WED” працює по сучасним стандартам, якісно організована за допомогою програмного забезпечення та людського фактору та сприяє покращенню роботи підприємства в цілому.[10,11,12]
Таб 1.1 Основні документи системи документообігу між центральним офісом “WED” та його філіями
Назва документу | Тип електронний\ паперовий | Місце виникнення | Місце збереження | Місце призначення | Роботи, в яких використав. |
Документи на товар | Електронний\паперовий | wed-центр | База даних, місцеві архіви | Філії | Облік товарів |
Документи на замовлення товарів | Електронний\паперовий | у замовника | База даних, місцеві архіви | Філії | Облік товарів |
Контракти замовлення товарів | паперовий | філії | У замовника | - | Ремонт товарів чи послуг. |
Док. на замовлення відсутніх товарів. | Електронний\паперовий | філії | База даних | wed-центр | Облік товарів |
Розрахування по з\п | Електронний\паперовий | wed- центр | База даних | філії | Облік з\п |
Звіт по з\п | Електронний\паперовий | філії | База даних, місцеві архіви | wed-центр | Облік з\п |
II. Впровадження захисту інформації в комп’ютерній мережі і інформаційній системі підприємства “WED”
Захист інформації на підприємстві грає велику роль для забезпечення стабільної роботи всього корпоративного підприємства та філій зокрема. Тож на підприємстві “WED” було вирішено покращити захист інформації новітніми технологіями.
2.1 Технічні засоби охорони об'єктів і захисту від витоку інформації
Одним з найважливіших частин захисту інформації в ТОВ «WED» є технічний захист інформації.
Витік інформації в комп'ютерних системах може бути допущений як випадково, так і навмисно, з використанням технічних засобів знімання інформації.
Засоби протидії випадкового витоку інформації, причиною якої може бути програмно-апаратний збій або людський фактор, можуть бути розділені на наступні основні функціональні групи: дублювання інформації, підвищення надійності комп'ютерних систем, створення відмовостійких комп'ютерних систем, оптимізація взаємодії людини і комп'ютерної системи, мінімізація збитків від аварій і стихійних лих (в тому числі, за рахунок створення розподілених комп'ютерних систем), блокування помилкових операцій користувачів.
Найбільший інтерес представляє навмисна зміна інформації, також відоме як промислове (технічний) шпигунство.
Під час захисту інформації в комп'ютерних системах (КС) від традиційного шпигунства і диверсій використовуються ті ж засоби і методи захисту, що і для захисту інших об'єктів, на яких не використовуються КС. Для захисту об'єктів КС від загроз даного класу повинні бути вирішені наступні завдання:
• створення системи охорони об'єкта;
• організація робіт з конфіденційними інформаційними ресурсами на об'єкті КС;
• протидія спостереження;
• протидія підслуховування;
• захист від злочинних дій персоналу.
Дослідження практики функціонування систем обробки даних і комп'ютерних мереж показали, що існує досить багато можливих напрямів витоку інформації та шляхів несанкціонованого доступу до неї в системах та мережах:
- перехоплення електронних випромінювань;
- примусово електромагнітне опромінення (підсвічування) ліній зв'язку;
- застосування "підслуховуючих" пристроїв;
- дистанційне фотографування;
- перехоплення акустичних хвильових випромінювань;
- розкрадання носіїв інформації і виробничих відходів систем обробки даних;
- зчитування інформації з масивів інших користувачів; o читання залишкової інформації в апаратних засобах;
- копіювання носіїв інформації і файлів з подоланням заходів захисту;
- модифікація програмного забезпечення шляхом виключення або додавання нових функцій;
- використання недоліків операційних систем і прикладних програмних засобів;
- незаконне підключення до апаратури та ліній зв'язку, в тому числі в якості активного ретранслятора;
- зловмисний вивід з ладу механізмів захисту;
- маскування під зареєстрованого користувача і присвоєння собі його повноважень;
- введення нових користувачів;
- впровадження комп'ютерних вірусів.
Саме ці проблеми потребують негайного вирішення в підприємстві “WED”.
2.2 Ідентифікація і встановлення автентичності суб'єктів і об'єктів
Для того, щоб встановити достовірність суб'єктів і об'єктів системи у підприємстві “WED”, всі суб'єкти і об'єкти, зареєстровані в системі, повинні мати унікальні імена - ідентіфікатоpи.
Ідентифікація суб'єкта (об'єкта) являє собою привласнення цього суб'єкту (об'єкту) унікального імені (ідентифікатора). Ідентифікація дозволяє суб'єкту (користувачеві, процесу, чинному від імені певного користувача, чи іншого апаратно-програмного компоненту) назвати себе (повідомити своє ім'я).
Коли який-небудь суб'єкт звертається до ресурсів системи, необхідно встановити його автентичність, упізнати його. Процес встановлення автентичності в зарубіжній літературі називається "авторизація".
Встановлення достовірності суб'єкта (об'єкта) полягає у підтвердженні того, що звернувся суб'єкт (викликається об'єкт) є саме тим, якому дозволено брати участь у даному процесі (виконувати дані дії). Встановлення автентичності та ідентифікації працівників підприємства є другочерговим кроком після впровадження технічних засобів безпеки.
2.2.1 Захист паролями
Пароль - це сукупність символів, що визначає об'єкт (суб'єкта). При виборі паролю виникає питання про його розмірі, стійкості до несанкціонованого підбору, способи його використання. Природно, чим більше довжина пароля, тим більшу безпеку буде забезпечувати система, бо потребуватиме великих зусиль для його відгадування. При цьому вибір довжини пароля в значній мірі визначається розвитком технічних засобів, їх елементною базою і швидкодією. Високий рівень безпеки досягається в разі поділу пароля на дві частини: одну-легко запам'ятовується людиною, і другу, яка містить кількість знаків, що визначається вимогами до захисту і можливостями технічної реалізації системи. Ця частина поміщається на спеціальний фізичний носій - картка, що встановлюється користувачем у спеціальний зчитувальний пристрій.
Пароль може використовуватися для ідентифікації та встановлення автентичності терміналу, з якого входить в систему користувач, а також для зворотного встановлення автентичності комп'ютера по відношенню до користувача.
З огляду на важливість пароля як засобу підвищення безпеки інформації, слід дотримуватися деякі запобіжні заходи, в тому числі:
• не зберігати паролі в обчислювальній системі в незашифрованому вигляді;
• не друкувати й не відображати паролі в явному вигляді на терміналі користувача;
• не використовувати в якості пароля своє ім'я або імена родичів, а також особисту інформацію (дата народження, номер домашнього чи службового телефону, назва вулиці та ін);
• не використовувати реальні слова з енциклопедії або тлумачного словника;
• вибирати довгі паролі;
• використовувати суміш символів верхнього та нижнього регістрів клавіатури;
• використовувати комбінації з двох простих слів, з'єднаних спеціальними символами;
• придумувати нові слова (абсурдні або навіть маревного змісту);
• частіше змінювати пароль.