Делопроизводство. Информационная безопасность в системе делопроизводств

Сохранение данных при  внештатных ситуациях (в том числе  вызванных форс-мажорными обстоятельствами) обеспечивается с помощью стандартных средств и мер. Кроме того, для предотвращения невосполнимой потери данных при таких инцидентах обычно применяются различные средства резервного копирования. Они позволяют создавать копии операционных систем компьютеров, документов пользователей и затем восстанавливать нормальную работу всей системы.

Наиболее масштабной и сложной является задача предотвращения несанкционированного доступа к  информации в системе делопроизводства. Ее решение разбивается на несколько подзадач — это обеспечение защиты персональных компьютеров, серверов и сетевых соединений.

Защита персональных компьютеров подразумевает предотвращение случаев запуска системы пользователями, у которых нет соответствующих  прав. Доступ к системе должен регламентироваться в строгой привязке к конкретным рабочим местам пользователей и их функциональным обязанностям. Для этого могут применяться различные средства, которые входят в состав использующегося программного обеспечения или являются дополнительными компонентами.

Один из механизмов подобной защиты — это идентификация пользователей, которая проводится несколькими  способами. К числу наиболее распространенных можно отнести метод парольной  идентификации. Она выполняется  как с помощью включенных в  программное обеспечение средств (входят в состав BIOS, любых операционных систем, СУБД, ERP-систем), так и с помощью внешних компонентов. Это могут быть, например, аппаратные модули доверенной загрузки — иногда их называют «электронный замок». Функции подобных устройств заключаются в идентификации пользователя и проверке целостности программного обеспечения. Если на компьютере работает только один пользователь, то данных средств обычно достаточно для обеспечения надежной защиты системы.

При работе на одном компьютере нескольких пользователей, кроме задачи идентификации пользователей, необходимо решить вопрос разделения их полномочий. Для этих целей возможно использование специальной программы защиты, которая запускается при старте операционной системы. Она контролирует действия пользователей по запуску приложений и обращения к данным. При этом все операции фиксируются в журнале, доступ к которому имеет только системный администратор, ответственный за информационную безопасность.

Идентификация пользователей  может вестись не только с помощью системы паролей, но и на основе биометрических технологий. В этом случае в качестве уникальных идентификаторов используются отпечаток ладони или пальцев пользователя, рисунок радужной оболочки глаза. Еще один способ однозначного определения пользователей — применение таких средств, как электронные ключи, смарт-карты [14, c. 150].

Защита серверов также  проводится за счет идентификации пользователей  и разграничения прав доступа. Использование  специальной системы протоколирования и аудита позволяет фиксировать все действия пользователей, связанные с обращением к серверу, анализировать их для выявления потенциально опасных ситуаций.

Защита сетевых соединений обеспечивается с помощью аутентификации рабочих станций и серверов, основанной на применении технологий цифровой подписи, шифрования и инкапсуляции IP-пакетов. Для обеспечения контроля над информационными потоками между различными сегментами корпоративной сети и внешней средой (например, Интернетом) может использоваться технология межсетевого экранирования. Межсетевые экраны — это программно-аппаратные средства, которые позволяют вести мониторинг данных, поступающих из внешней среды, и оценивать их на предмет угрозы для внутренней сети предприятия.

Организационные мероприятия, связанные с защитой информации, обычно включают в себя [7]:

• разработку инструкций и регламентов для сотрудников;
• организацию охраны помещений и разработку пропускного режима;
• ограничение доступа в помещения, где размещены серверы;
• хранение носителей информации и бумажной документации в сейфах или других защищенных местах;
• установку мониторов компьютеров, клавиатуры, принтеров таким образом, чтобы исключить возможность просмотра или копирования информации посторонними лицами;
• ликвидацию ненужных носителей информации и документов;
• уничтожение всей информации на жестких дисках компьютеров, где были установлены компоненты системы, перед их отправкой в ремонт;
• проведение регулярных проверок по соблюдению всех правил, положений и инструкций, связанных с обеспечением информационной безопасности.

Для минимизации рисков, связанных с несанкционированным  доступом на предприятие или в  его отдельные подразделения, может  использоваться метод создания рубежей  защиты. Это подразумевает, что территория предприятия разбивается на несколько зон, ранжированных по степени закрытости для сотрудников или посетителей. В результате возникает возможность для разграничения доступа к наиболее важным информационным ресурсам предприятия. Тем самым обеспечивается их максимальная защита [16, c. 211].

Наконец, один из важных вопросов создания системы защиты информации — это стоимость всего проекта. Необходимые затраты можно разделить на прямые и косвенные.

Прямые затраты —  это: стоимость программного и аппаратного обеспечения, необходимого для защиты данных в автоматизированной системе управления; стоимость внедрения средств защиты (для этого может потребоваться перенастройка использующегося программного обеспечения и оборудования, прокладка дополнительной кабельной сети и т.д.); стоимость поддержки внедренных средств, обучения специалистов; стоимость дополнительных технических средств (например, систем бесперебойного питания, систем для организации пропускного режима); стоимость управления системой защиты информации (например, заработная плата сотрудникам подразделения, занимающегося вопросами информационной безопасности, оборудование рабочих мест и т.д.); стоимость последующей модернизации программно-аппаратного обеспечения и других технических средств.

К косвенным затратам относятся потери предприятия, возникающие в результате сбоя или простоев в работе автоматизированной системы управления. Это может являться, например, следствием неправильного выбора, установки или настройки средств защиты информации [16, c. 212].

Главный результат создания надежной системы защиты информации заключается в отсутствии потерь. Без использования системы значительно возрастает риск утечки или утраты информации. К числу наиболее неприятных последствий подобных инцидентов компании относятся прямые финансовые убытки, удар по репутации, потерю клиентов, снижение конкурентоспособности. Тем самым обеспечение информационной безопасности компании имеет вполне конкретный экономический смысл.

Разработка системы  защиты позволяет комплексно подойти  к решению вопросов информационной безопасности предприятия. За счет применения программных и аппаратных средств, выполнения организационных мероприятий обеспечивается сохранность данных, и минимизируются риски потери информации.

 

 

 

 

Заключение

 

Таким образом, информационная безопасность определяется как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. А информационная сфера (среда) - это сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации.

Главная цель информационной безопасности – защита законных прав граждан, организаций, общества. Чисто техническими средствами эту защиту обеспечить невозможно. Реализация защиты правовыми методами, в частности судебная защита, возможна только посредством закрепления в законодательных актах и общественном обращении правового толкования базовых терминов, на основе использования которых только и может строиться разрешения конфликтных ситуаций правовыми методами.

Исходя из социальной сущности информационной безопасности, информационному обществу необходимо решать следующие задачи, а именно совершенствовать системы социальных ценностей, системы обеспечения информационной безопасности и системы общественного контроля над действиями государства по обеспечению информационной безопасности. Сегодня обеспечение информационной безопасности должно стать предметом комплексного исследования многих наук, изучающих отношения человека, общества и государства в информационной сфере во всей сложности и многообразии форм социального взаимодействия.

 

 

 

 

 

 

Список использованных источников

 

1. Закон Республики Беларусь «Об информации, информатизации и защите информации» от 10 ноября 2008 г. N 455-З [Электронный ресурс]// Режим доступа: http://www.beltim.by/wiki/documents/zakon-respubliki-belarus-ob-informatsii-informatizatsii/
2. Азамов, О. В. Информационная безопасность / О. В. Азамов, К. Ю. Будылин, Е. Г. Бунев, С. А. Сакун, Д. Н.  Шакин [Электронный ресурс]// Режим доступа: http://www.naukaxxi.ru/materials/41/
3. Алексенцев, А. И. Сущность и соотношение понятий «защита информации», «безопасность информации», «информационная безопасность» / А. И. Алексенцев // Безопасность информационных технологий. 2009. № 1. - С.45-47.
4. Гришина, Н. В. Организация комплексной системы защиты информации / Н. В. Гришина. — М.: Гелиос АРВ, 2007. — 256 с.
5. Емельянов, Г.В. Информационная безопасность. Учебное пособие / Под.ред. А.А. Прохожевой. – М.: Инфра-М, 2009. – 234 с.
6. Защита информации в компьютерных системах - слагаемые успеха [Электронный ресурс]// Режим доступа: http://www.beltim.by/wiki/articles/zashchita-informatsii-v-kompyuternykh-sistemakh-slagaemye-us/
7. Коновал, Д. Комплексный подход к организации системы защиты информации на предприятии: основные вопросы и технологии [Электронный ресурс]// Режим доступа: http://www.epam.by/aboutus/news-and-events/articles/2009/aboutus-ar-gaz-prom-09-01-2009.html
8. Николаенко, Р.Я. Основы защиты информации / Р.Я. Николаенко. 3-е ид. – М.: Просвещение, 2010. – 235 с.
9. Романова, Д.А. Защита информации и конфиденциальные данные / Д.А. Романова. – М.: Ника, 2009. – 424 с.
10. Степанов, Е.А. Информационная безопасность и защита информации: Учебное пособие / Е.А. Степанов, И.К. Корнеев - М.: ИНФРА-М – 2001 – 214 c.
11. Стрельцов, А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы / А.А. Стрельцов. – М., МЦНМО, 2009. – С.52-57.
12. Стрельцов, А.А. Содержание понятия «обеспечение информационной безопасности» / А.А. Стрельцов // Информационное общество.- 2011.- № 4.- С.10-16.
13. Чубукова, С.Г. Основы правовой информатики (юридические и математические вопросы информатики) / С.Г. Чубукова, В.Д. Элькин. – М.: Новое знание. - 2006. – 415 с.
14. Шаньгин, В. Защита компьютерной информации. Эффективные методы и средства / В. Шаньгин. – М.: Просвет, 2008. – 385 с.
15. Шерстюк, В.П. Информационная безопасность в системе обеспечения национальной безопасности / В.П. Шерстюк // Информационное общество, 2009, вып. 5. – С. 3 - 5.
16. Ясенев, В. Н. Информационная безопасность в экономических системах: Учебное пособие / В. Н.  Ясенев. – Н. Новгород: Изд-во ННГУ, 2007. – 356 с.