Дипломная работа: Защита конфиденциальной информации на предприятии
2. Составления и регулярного
обновления состава перечня защищаемой информации организации, составления и ведения
перечня защищаемых бумажных и электронных документов организации;
3. Разрешительной системы
(иерархической схемы) разграничения доступа персонала к защищаемой и охраняемой
информации предприятия;
4. Методов отбора персонала
для работы с защищаемой информацией, методики обучения и инструктирования работников;
5. Направлений и методов
воспитательной работы с персоналом, контроля соблюдения работниками порядка защиты
информации;
6. Технологии защиты, обработки
и хранения бумажных и электронных документов, баз данных предприятия (делопроизводственной,
электронной и смешанной технологий);
7. Внемашинной технологии
защиты электронных документов - защиты носителей информации;
8. Порядка защиты ценной
информации предприятия от случайных или умышленных несанкционированных действий
работников банка;
9. Порядка защиты информации
при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями
контрольных органов, средств СМИ, рекламных агентств и т.д.;
10. Оборудования и аттестации
зданий и помещений, рабочих зон, выделенных для работы с документированной информацией
(62, с.23).
Инженерно-технический элемент предназначен
для пассивного и активного противодействия средствами технической разведки и формирования
рубежей охраны территории, здания, помещений и оборудования с помощью комплексов
технических средств. При защите информационных систем этот элемент имеет весьма
важное значение, хотя стоимость средств технической защиты и охраны велика.
Элемент включает в себя:
1.
Сооружения физической (инженерной) защиты от проникновения посторонних лиц
на территорию, в здание и помещение (заборы, решетки, стальные двери, кодовые замки,
идентификаторы, сейфы);
2.
Средства защиты технических каналов утечки информации, возникающих при работе
ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов
и офисного оборудования, проведении совещаний, заседаний, беседах с посетителями
и сотрудниками, диктовке документов;
3.
Средства защиты помещений от визуальных способов технической разведки;
4.
Средства обеспечения охраны территории, здания и помещений (средств наблюдения,
оповещения, сигнализация);
5.
Средства противопожарной охраны;
6.
Средства обнаружения приборов и устройств технической разведки (подслушивающих
и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной
аппаратуры);
7.
Технические средства контроля, предотвращающие вынос персоналом из помещения
специально маркированных предметов, документов, дискет, книг (72, с.36).
Программно-математический элемент
предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах,
серверах и рабочих станциях локальных сетей и различных информационных системах.
Элемент включает в себя:
1.
Регламентацию доступа к базам данных, файлам, электронным документам персональными
паролями, идентифицирующими командами и другими методами;
2.
Регламентацию специальных средств и продуктов программной защиты;
3.
Регламентацию криптографических методов защиты информации в ЭВМ и сетях,
криптографирования (шифрования) текста документов при передаче их по каналам телеграфной
и факсимильной связи, при пересылке почтой;
4.
Регламентацию доступа персонала в режимные (охраняемые) помещения с помощью
идентифицирующих кодов, магнитных карт, биологических идентификаторов (72, с.37).
Криптографическое
обеспечение включает в регламентацию:
1.
Использования различных криптографических методов в компьютерах и серверах,
корпоративных и локальных сетях, различных информационных системах;
2.
Определение условий и методов криптографирования текста документа при передаче
его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной
связи; регламентацию использования средств криптографирования переговоров по незащищенным
каналам телефонной, спутниковой и радиосвязи;
3.
Регламентацию доступа к базам данных, файлам, электронным документам персональными
паролями, идентифицирующими командами и другими методами; регламентацию доступа
персонала в выделенные помещения с помощью идентифицирующих кодов, шифров (например,
на сегодняшний день вошло в практику использования, как идентифицирующий кодов системы
паролей, отпечатков пальцев и сетчатки глаза человека) (72, с.39).
Составные части
криптографической защиты, пароли и другие ее атрибуты разрабатываются и меняются
специализированными организациями, входящими в структуру Федеральной службы по техническому
и экспертному контролю России. Применение пользователями иных систем шифровки не
допускается (49, с. 19).
Таким образом, наиболее
часто встречающимися угрозами (опасностями) конфиденциальных документов являются:
1.
Несанкционированный доступ постороннего лица к документам, делам и базам
данных за счет его любопытства или обманных, провоцирующих действий, а также случайных
или умышленных ошибок персонала фирмы;
2.
Утрата документа или его отдельных частей (листов, приложений, схем, копий,
экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих
записей за счет кражи, утери, уничтожения;
3.
Утрата информацией конфиденциальности за счет ее разглашения персоналом или
утечки по техническим каналам, считывания данных в чужих массивах, использования
остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных
действий персонала;
4.
Подмена документов, носителей и их отдельных частей с целью фальсификации,
а также сокрытия факта утери, хищения;
5.
Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная
модификация и искажение текста, реквизитов, фальсификация документов;
6.
Гибель документов в условиях экстремальных ситуаций (52, с.24).
В отношении конфиденциальной
информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз,
классифицируются по степени риска следующим образом:
1.
Непреднамеренные ошибки пользователей, референтов, операторов, референтов,
управляющих делами, системных администраторов и других лиц, обслуживающих информационные
системы;
2.
Кражи и подлоги информации;
3.
Стихийные ситуации внешней среды;
4.
Заражение вирусами.
Рис.1. Самые опасные ИТ-угрозы (исследование Infowatch, 2004).
Cистема защиты информационных ресурсов включает в себя следующие
элементы:
¾
правовой;
¾
организационный;
¾
инженерно-технический;
¾
программно-аппаратный;
¾
криптографический (51, с.26)
В каждой вышеупомянутой
части обеспечение системы защиты информации организации могут быть реализованы на
практике только отдельно составные элементы, в зависимости от: поставленных задач
защиты организации; величины фирмы.
Структура системы,
состав и содержание комплекса частей обеспечения системы защиты информации фирмы,
их взаимосвязь зависят от ценности защищаемой и охраняемой информации, характера
возникающих угроз информационной безопасности предприятия, требуемой защиты и стоимости
системы.
Одним из основных
признаков защищаемой информации являются ограничения, вводимые собственником информации
на ее распространение и использование.
В общем виде цели
защиты информации сводятся к режимно-секретному информационному обеспечению деятельности
государства, отрасли, предприятия, фирмы. Защита информации разбивается на решение
двух основных групп задач:
1.
Своевременное и полное удовлетворение информационных потребностей, возникающих
в процессе управленческой, инженерно-технической, маркетинговой и иной деятельности,
то есть обеспечение специалистов организаций, предприятий и фирм секретной или конфиденциальной
информации.
2.
Ограждение засекреченной информации от несанкционированного доступа к ней
соперника, других субъектов в злонамеренных целях (103, с.52).
Риск угрозы утечки любых информационных
ресурсов (открытых и с ограниченным доступом) создают стихийные бедствия, экстремальные
ситуации, аварии технических средств и линий электроснабжения, связи, другие объективные
обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы
лица. Пример тому - сбой электроснабжения в Москве в 2005 году, последствия которого
до сих пор испытывают некоторые организации (60, с.145).
Главная задача защиты информации, по
мнению большинства специалистов, - защитить доступ (физический или программный)
к месту пребывания электронной конфиденциальной информации таким образом, чтобы
максимально удорожить процесс несанкционированного доступа к защищаемым данным
(101, с.220).
Отношения, возникающие
при создании, накоплении, обработке, хранении и использовании документов, содержащих
конфиденциальную информацию регулируются соответствующими законодательными и подзаконными
актами.
К числу базовых
относится, в первую очередь, Конституция РФ. В ст.23 (1) установлено право неприкосновенность
личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и
иных сообщений. При этом ограничение этого права допускается только на основании
судебного решения. Конституцией РФ не допускается (ст.24) сбор, хранение, использование
и распространение информации о частной жизни лица без его согласия (1).
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19 |
