Делопроизводство. Информационная безопасность в системе делопроизводств

6. Гибель документов в условиях экстремальных ситуаций.

Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируется по степени риска следующим образом:

• Непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;

• Кражи и подлоги информации;

• Стихийные ситуации внешней среды;

• Заражение вирусами.

В соответствии с характером указанных выше угроз формируется задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных  опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя [4, c. 107-108].

Таким образом, безопасность – это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. Организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей. Должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учета, хранения и уничтожения конфиденциальной документов организации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Принципы построения  системы информационной безопасности

 

Информационная сфера  в настоящее время стала системообразующим  фактором жизни общества, и чем  активней эта сфера общественных отношений развивается, тем больше политическая, экономическая, оборонная и другие составляющие национальной безопасности любого государства будут зависеть от информационной безопасности, и в ходе развития технического прогресса эта зависимость будет все более  возрастать.

Необходимость информационной безопасности обусловлена следующими особенностями современной социально-политической ситуации в нашей стране и мировом сообществе [6].

Во-первых, в новых условиях резко  расширившихся возможностей по реализации конституционных прав граждан на свободу экономической, интеллектуальной и других видов деятельности существенно увеличились потребности социально активной части общества в информационном взаимодействии как внутри страны, так и с внешним миром.

Во-вторых, интенсивное развитие информационной инфраструктуры, интеграция в мировое информационное пространство усилили зависимость эффективности функционирования общества и государства от состояния информационной сферы.

В-третьих, индустрия информатизации и информационных услуг стала  одной из наиболее динамично развивающихся сфер мировой экономики, способной на равных конкурировать по доходности с топливно-энергетическим комплексом, автомобилестроением, производством сельскохозяйственной продукции.

Наконец, и это особенно важно  подчеркнуть, информационная инфраструктура, информационные ресурсы стали ареной межгосударственной борьбы за мировое лидерство, достижение противоборствующими странами определенных стратегических и тактических политических целей.

За последние годы в Республике Беларусь реализован определенный комплекс практических мер по укреплению информационной безопасности страны. Так, начато формирование нормативной правовой базы обеспечения информационной безопасности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти [7].

Созданы государственные системы  защиты государственной тайны и  информации, системы лицензирования деятельности организаций в области  защиты информации и системы сертификации средств защиты            информации.

Вместе с тем анализ состояния  информационной безопасности Республике Беларусь показывает, что ее уровень  не в полной мере соответствует современным  потребностям общества и государства.

Прежде всего, нормативная правовая база обеспечения информационной безопасности не охватывает всего круга проблем в этой области, а в отдельных вопросах просто противоречива [15, c. 4].

Другая проблема связана  с отставанием отечественных  информационных и телекоммуникационных технологий, что вынуждает органы государственной власти при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. Вследствие этого повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость Беларуси от иностранных производителей компьютерной и телекоммуникационной техники. В то же время из-за отсутствия необходимого финансирования низки темпы работ по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти, не обеспечивается в необходимых объемах производство сертифицированных средств защиты информации, включая отечественные защищенные операционные системы и прикладные программные средства [7].

Узким местом является и  недостаточная проработка региональных проблем информационной безопасности, отсутствие необходимой координации  деятельности государственных и  региональных органов государственной  власти, государственных и негосударственных  организаций в этой области. Следует отметить, что первыми это ощутили и осознали сами регионы, а некоторые из них в последнее время стали предпринимать определенные практические шаги в этом направлении. Однако эти действия пока осуществляются без должной координации [3, c. 3-5].

По способам осуществления  все меры защиты информации, ее носителей  и систем ее обработки подразделяются на: правовые (законодательные); морально-этические; технологические; организационные (административные и процедурные); физические; технические (аппаратурные и программные).

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы [7].

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала [7].

К технологическим мерам защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.

Организационные меры защиты – это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.) [7].

Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Взаимосвязь рассмотренных выше мер  обеспечения безопасности приведена  на рисунке 1.

Рис. 1. Взаимосвязь мер обеспечения  информационной безопасности

1 - Нормативные и организационно-распорядительные документы составляются с учетом и на основе существующих норм морали и этики.

2 - Организационные меры обеспечивают  исполнение существующих нормативных  актов и строятся с учетом  существующих правил поведения, принятых в стране и/или организации

3 - Воплощение организационных  мер требует разработки соответствующих  нормативных и организационно-распорядительных  документов 

4 - Для эффективного применения  организационные меры должны  быть поддержаны физическими и техническими средствами

5 - Применение и использование  технических средств защиты требует  соответствующей организационной  поддержки. 

 

Построение системы  обеспечения безопасности информации в системе делопроизводства и ее функционирование должны осуществляться в соответствии со следующими основными принципами: законность, системность, комплексность, непрерывность, своевременность, преемственность и непрерывность совершенствования, разумная достаточность, персональная ответственность, разделение функций, минимизация полномочий, взаимодействие и сотрудничество, гибкость системы защиты, открытость алгоритмов и механизмов защиты, простота применения средств защиты, научная обоснованность и техническая реализуемость, специализация и профессионализм, взаимодействие и координация, обязательность контроля [6].

Законность предполагает осуществление защитных мероприятий и разработку системы безопасности информации в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.

Системный подход к защите информации в системе делопроизводства предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности в системе делопроизводства.

При создании системы  защиты должны учитываться все слабые и наиболее уязвимые места системы  обработки информации, а также  характер, возможные объекты и  пути проникновения в распределенные системы и НСД к информации.

Комплексное использование  методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами.

Одним из наиболее укрепленных  рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС). Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.