Защита информации

Автор: Пользователь скрыл имя, 10 Мая 2012 в 18:52, дипломная работа

Краткое описание

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть методы и средства защиты конфиденциальной информации;

Оглавление

Введение
Глава 1. Основы информационной безопасности и защиты информации
1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности
1.2 Ценность информации
1.3 Каналы распространения и утечки конфиденциальной информации
1.4 Угрозы и система защиты конфиденциальной информации
Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
2.1 Нормативно-методическая база конфиденциального делопроизводства
2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных
2.3 Технологические основы обработки конфиденциальных документов
Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
3.3 Совершенствование системы безопасности информации ограниченного доступа
Заключение
Список использованных источников и литературы

Файлы: 1 файл

курсовая.doc

— 662.50 Кб (Скачать)

6.                  Отсутствие контроля со стороны руководства предприятия за соблюдением персоналом требований нормативных документов по работе с документированной информацией с ограниченным доступом;

7.                  Бесконтрольное посещение помещений организации посторонними лицами. (50, с.33).

Каналы несанкционированного доступа и утечки информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами (63, с.39).

Таким образом, получение документов или информации с ограниченным доступом может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.

Поэтому любые информационные ресурсы организации являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утечки становится достаточно реальной.

Желательна предварительная оценка аналитиками подготовленных к публикации материалов о фирме, выставочных проспектов, рекламных изданий и т.п., их участие в презентациях, выставках, собраниях акционеров, переговорах, а также собеседованиях и тестированиях кандидатов на должности. Последнее является одной из основных и наиболее важных обязанностей информационно-аналитической службы, так как именно на этом этапе можно с определенной долей вероятности перекрыть один из основных организационных каналов - поступление злоумышленника на работу в фирму (84, с.35).

 

1.4 Угрозы и система защиты конфиденциальной информации

 

Под угрозой или опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных (101, с.36).

Информация является одним из важнейших видов продуктов и видов товара на рынке, в том числе на международном. Средства ее обработки, накопления, хранения и передачи постоянно совершенствуются. Информация как категория, имеющая действительную или потенциальную ценность, стоимость, как и любой другой вид ценности, - охраняется, защищается ее собственником или владельцем.

Защищают и охраняют, как правило, не всю или не всякую информацию, а наиболее важную, ценную для ее собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи

Под защищаемой информацией понимают сведения, на использование и распространение которых введены ограничения их собственником (66, с.27).

Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;

                  защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;

                  защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;

                  защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям (71, с.7).

Защита информации - это деятельность собственника информации или уполномоченных им лиц по: обеспечению своих прав на владение, распоряжение и управление защищаемой информацией; предотвращению утечки и утраты информации; сохранению полноты достоверности, целостности защищаемой информации, ее массивов и программ обработки, сохранению конфиденциальности или секретности защищаемой информации в соответствии с правилами, установленными законодательными и другими нормативными актами (74, с.18).

Сохранение сведений в тайне, владение секретами дает определенные преимущества той стороне, которая ими владеет. Защищаемая информация, как и любая другая информация, используется человеком или по его воле различными созданными искусственно или существующими естественно системами в интересах человека. Она носит семантический, то есть смысловой, содержательный характер. Это дает возможность использовать одну и ту же информацию разными людьми, народами независимо от языка ее представления и знаков, которыми она записана, формы ее выражения и т.д. В то же время защищаемая информация имеет и отличительные признаки:

                  засекречивать информацию, то есть ограничивать к ней доступ, может только ее собственник (владелец) или уполномоченные им на то лица;

                  чем важнее для собственника информация, тем тщательнее он ее защищает. А для того чтобы все, кто сталкивается с этой защищаемой информацией, знали, что одну информацию необходимо оберегать более тщательно, чем другую, собственник определяет ей различную степень секретности;

                  защищаемая информация должна приносить определенную пользу ее собственнику и оправдывать затрачиваемые на ее защиту силы и средства.

Основной угрозой информационной безопасности является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации с ограниченным доступом и, как результат, овладение информацией и незаконное, противоправное ее использование.

Разработка мер, и обеспечение защиты информации осуществляются подразделениями по защите информации (служба безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации (69, с.63).

Под злоумышленником понимается лицо, действующее в интересах противника, конкурента или в личных корыстных интересах (на сегодняшний день - террористы любых мастей, промышленный и экономический шпионаж, криминальные структуры, отдельные преступные элементы, лица, сотрудничающие со злоумышленником, психически больные лица и т.п.) (73, с.64).

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники милиции, МЧС, коммунальных служб, медицинской помощи, прохожие и др.), посетители организации, работники других организаций, включая контролирующие органы, а также работники самого предприятия, не обладающие правом доступа в определенные здания и помещения, к конкретным документам, базам данных (70, с.2).

Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом конкурента и т.п., но может и не быть им. (65, с.64)

Наиболее часто встречающимися угрозами (опасностями) конфиденциальных сведении в документопотоках могут быть:

1.                  Несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;

2.                  Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

3.                  Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4.                  Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;

5.                  Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

6.                  Гибель документов в условиях экстремальных ситуаций (52, с.24).

Для электронных документов угрозы особенно реальны, т.к. факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:

  1. Непреднамеренные ошибки пользователей, референтов, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;
  2. Кражи и подлоги информации;
  3. Стихийные ситуации внешней среды;
  4. Заражение вирусами.

В соответствии с характером указанных выше угроз формируются задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Следует внимательнее относиться к вопросам отнесения информации к различным грифам секретности и, соответственно, к обеспечению уровня ее защиты.

Защита информации представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и секретности (конфиденциальности) информационных ресурсов предприятия. Данный технологический процесс в конечном счете должен обеспечить надежную информационную безопасность организации в его управленческой и финансово-производственной деятельности.

Комплексная система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее утечке и разглашению (62, с.9).

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений предприятия и государства по поводу правомерности использования системы защиты информации (системы лицензирования в области защиты информации и сертификации средств защиты информации); на обязанности персонала: соблюдать установленные собственником информации ограничительные и технологические меры режимного характера защиты информационных ресурсов организации.

Правовое обеспечение системы защиты информации включает:

1.                  Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;

2.                  Формулирование и доведение до сведения всего персонала банка (в том числе не связанного с защищаемой и охраняемой информацией) положения о правовой ответственности за разглашение информации, несанкционированное уничтожение или фальсификацию документов;

3.                  Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите документированной информации (83, с.58).

Организационный элемент, как одна из основных частей системы защиты информации содержит меры управленческого, режимного (ограничительного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты информации фирмы. Эти меры связаны с установлением режима секретности (конфиденциальности) информации в организации.

Организационно-документационное обеспечение включает в себя документирование и регламентацию:

1.                  Формирования и организации деятельности службы безопасности организации, службы кадров и службы закрытого (конфиденциального) документационного обеспечения управления (ДОУ) (или менеджера по безопасности, или помощника (референта) руководителя предприятия), обеспечения деятельности этих служб нормативно-методическими документами по организации и технологии защиты информации;

2.                  Составления и регулярного обновления состава перечня защищаемой информации организации, составления и ведения перечня защищаемых бумажных и электронных документов организации;

3.                  Разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой и охраняемой информации предприятия;

4.                  Методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования работников;

5.                  Направлений и методов воспитательной работы с персоналом, контроля соблюдения работниками порядка защиты информации;

6.                  Технологии защиты, обработки и хранения бумажных и электронных документов, баз данных предприятия (делопроизводственной, электронной и смешанной технологий);

7.                  Внемашинной технологии защиты электронных документов - защиты носителей информации;

Информация о работе Защита информации