Области и объекты защиты информационной деятельности на предприятиях и в организациях
Анализ проблемных мест в объектах безопасности, позволяющих злоумышленнику получить доступ к конфиденциальной информации на предприятии. Возможности её потенциальной защиты от разрушения. Руководящие документы и правовая база, применяемые в этой области.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 15.06.2013 |
Размер файла | 173,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Оглавление
- Введение
- 1. Концепция информационной безопасности
- 1.1 Концептуальная модель информационной безопасности
- 1.2 Защита информации от разрушения
- 2. Руководящие документы, применяемые в этой области
- 3. Правовая защита
- Заключение
- Список используемой литературы
Введение
Защите информации на предприятии от неправомерного овладения ею отводится весьма значительное место. При этом «целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения».
Особняком здесь стоит защита отдельных объектов, которые чаще других подвержены потенциальному риску взлома. К ним относятся:
· информационные ресурсы, содержащие конфиденциальную информацию;
· системы и средства, обрабатывающие конфиденциальную информацию (технические средства приема, обработки, хранения и передачи информации (ТСПИ);
· ТСПИ размещенные в помещениях обработки секретной и конфиденциальной информации. Общепринятая аббревиатура - ВТСС (вспомогательные технические средства и системы). К ВТСС относятся технические средства открытой телефонной связи, системы сигнализации, радиотрансляции и т.д., а также помещения, которые предназначены для обработки информации с ограниченного использования.
Иными словами, объектами защиты информации являются источники информации; переносчики информации и получатели информации.
Целью данной курсовой работы является указать те проблемные места в объектах безопасности, которые позволяют злоумышленнику получить доступ к конфиденциальной информации на предприятии и рассмотреть возможности её потенциальной защиты, рассмотреть документы которыми нужно руководствоваться в данной области, указать на правовую базу, существующую в сфере компьютерной безопасности.
защита информация безопасность
1. Концепция информационной безопасности
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура, основу которой составляют[1, 22стр]:
весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
значительное число фирм, специализирующихся на решении вопросов защиты информации;
достаточно четко очерченная система взглядов на эту проблему;
наличие значительного практического опыта и другое.
И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.
Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:
обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм -- систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.[2, 33стр]
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
- плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
- активной. Защищать информацию необходимо с достаточной степенью настойчивости;
- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
- универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита -- это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимо обусловливающих друг друга сторон, свойств, тенденций.
Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
-охватывать весь технологический комплекс информационной деятельности;
-быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
-быть открытой для изменения и дополнения мер обеспечения безопасности информации;
-быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
-быть простой для технического обслуживания и удобной для эксплуатации пользователями;
-быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
-быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
К системе безопасности информации предъявляются также определенные требования:
-четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
-предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
-сведение к минимуму числа общих для нескольких пользователей средств защиты;
-учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
- обеспечение оценки степени конфиденциальной информации;
-обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.[3]
Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:
-правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;
-организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими;
-аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
-информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
-программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.[4, 11стр]
Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз (рис. 1.1).
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.
Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности.
1.1 Концептуальная модель информационной безопасности
Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций», правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы «заместитель» реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.
Рисунок 1.1
Можно предложить компоненты модели информационной безопасности на первом уровне декомпозиции. По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:
объекты угроз;
угрозы;
источники угроз;
цели угроз со стороны злоумышленников;
источники информации;
способы неправомерного овладения конфиденциальной информацией (способы доступа);
направления защиты информации;
способы защиты информации;
средства защиты информации.
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).[5]
Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.
Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы.
Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба (рис. 1. 2).
Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.
Рисунок 1.2
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производств Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности. Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно-программно-аппаратными средствами.
1.2 Защита информации от разрушения
Одной из задач обеспечения безопасности для всех случаев пользования ПК является защита информации от разрушения, которое может произойти при подготовке и осуществлении различных восстановительных мероприятий (резервировании, создании и обновлении страховочного фонда, ведении архивов информации и других). Так как причины разрушения информации весьма разнообразны {несанкционированные действия, ошибки программ и оборудования, компьютерные вирусы и пр.), то проведение страховочных мероприятий обязательно для всех, кто пользуется ПК. Необходимо специально отметить опасность компьютерных вирусов. Многие пользователи ПК о них хорошо знают, а тот, кто с ними еще не знаком, скоро познакомится. Вирус компьютерный - небольшая, достаточно сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переносить себя на диски, прикрепляться к чужим программам и передаваться по информационным сетям. Вирус обычно создается для нарушения работы компьютера различными способами.[6]
Антивирус - специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики -- предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом
По функционалу антивирусы делятся на:
· Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту)
· Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции)
К комбинированным относится большинство антивирусных программ:Avast!, AVG , Avira AntiVir, Comodo Antivirus , Dr. Web , Emsisoft Anti-Malware , eScan Antivirus , F-PROT Antivirus , F-Secure Anti-Virus, Антивирус Касперского.
А к антивирусным продуктам:AVZ , BitDefender , CA Antivirus , Clam Antivirus , ClamWin , Command Anti-Malware , G-DATA Antivirus , Graugon Antivirus , IKARUS virus.utilities.
Помимо использования в интересах защиты от вирусов антивирусных программ широко используют и организационные меры безопасности. Для уменьшения опасности вирусных актов возможно предпринять определенные действия, которые для каждого конкретного случая могут быть сокращены или расширены. Вот некоторые из таких действий:
1. Информировать всех сотрудников предприятия об опасности и возможном ущербе в случае вирусных атак.
2. Не осуществлять официальные связи с другими предприятиями по обмену (получению) программным обеспечением. Запретить сотрудникам приносить программы «со стороны» для установки их в системы обработки информации. Должны использоваться только официально распространяемые программы.
3. Запретить сотрудникам использовать компьютерные игры на ПК, обрабатывающих конфиденциальную информацию.
4. Для выхода на сторонние информационные сети выделить отдельное специальное место.
5. Создать архив копий программ и данных.
6. Периодически проводить проверку контрольным суммированием или сравнением с «чистыми» программами.
7. Установить системы защиты информации на особо важных ПК. Применять специальные антивирусные средства.
2. Руководящие документы, применяемые в этой области
Действия по защите информации от несанкционированного доступа (НСД) регламентируют Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», а также Указы Президента РФ «О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9); «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644); «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334); «Положение о государственной системе защиты информации в Российской Федерации».[7]
Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»; ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р.34.11-94 «Функция хэширования»; ГОСТР.В.50170-92 «Противодействие ИТР. Термины и определения».
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности.[8]
К таким документам относятся:
Положение о сохранении конфиденциальной информации;
Перечень сведений, составляющих конфиденциальную информацию;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Перечень сведений, разрешенных к опубликованию в открытой печати;
Положение о работе с иностранными фирмами и их представителями;
Обязательство сотрудника о сохранении конфиденциальной информации;
Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.[9]
В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мер могут быть избраны следующие формы защиты информации:
патентование;
авторское право;
признание сведений конфиденциальными;
товарные знаки;
применение норм обязательственного права.
Существуют определенные различия между авторским правом и коммерческой тайной. Авторское право защищает только форму выражения идеи. Коммерческая тайна относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете.
Помимо вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии. Лицензия - это разрешение, выдаваемое государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции и предоставленные права использовать защищенные патентами изобретения, технологии, методики.
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
- предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
- предприятие обязано обеспечить сохранность конфиденциальной информации.
Такие требования дают право администрации предприятия:
создавать организационные структуры по защите конфиденциальной информации;
издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
включать требования по защите информации в договоры по всем видам хозяйственной деятельности;
требовать защиты интересов предприятия со стороны государственных и судебных инстанций;
распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства;
разработать «Перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования:
Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций.
Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.[10]
3. Правовая защита
Право - это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий (организаций) и населения (отдельной личности). [18]
Рисунок 3.1
Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами (рис. 3.1).В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур (рис. 3.2).Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации. Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и другие.
Первый блок -- конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.
Второй блок -- общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатизации и информационной безопасности.
Третий блок -- законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.
Рисунок 3.2
Четвертый блок - специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации». Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.
Пятый блок -- законодательство субъектов Российской Федерации, касающееся защиты информации.
Шестой блок -- подзаконные нормативные акты по защите информации.
Седьмой блок -- это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.[12]
Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:
информации и информационных систем;
субъектов -- участников информационных процессов;
правоотношений производителей -- потребителей информационной продукции;
владельцев (обладателей, источников) информации -- обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.
Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.
В дополнение к базовому закону в мае 1992 г. были приняты Законы «О правовой охране программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ.[13]
1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.
Вторая часть статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так:
«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».
Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации.
Правовая защита информации, обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение.
Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации.
Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события.
В основе российского страхового законодательства лежит Закон РФ «О страховании». Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности.
Закон «О страховании» дает следующее понятие страхования: «Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов.
Заключение
Опыт показывает, что для достижения удачных решений по защите информации необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности к наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.
Работы по созданию системы защиты информации (СЗИ) включают в себя следующие этапы:
анализ состава и содержания конфиденциальной информации, циркулирующей на конкретного объекте защиты;
анализ ценности информации для предприятия (организации) с позиций возможного ущерба от её получения конкурентами;
оценка уязвимости информации, доступности ее для средств злоумышленника;
исследование действующей системы защиты информации на предприятии;
оценка затрат на разработку новой (или совершенствование действующей) системы;
организация мер защиты информации;
закрепление персональной ответственности за защиту информации;
реализация новой технологии защиты информации;
создание обстановки сознательного отношения к защите информации;
контроль результатов разработки и прием в эксплуатацию новой системы защиты.
Изложенные этапы можно считать типовыми для процесса разработки систем защиты, так как они в значительной мере охватывают практически весь объем работ на организационном уровне.
Самым начальным, исходным шагом, направленным на развертывание работ по созданию или совершенствованию СЗИ, является разработка приказа руководителя организации (предприятия) на проведение работ с указанием конкретного должностного лица, ответственного за создание СЗИ в целом. В приказе излагаются цели и задачи создания СЗИ в данной организации, определяются этапы и сроки их выполнения, назначаются конкретные должностные лица, ответственные за отдельные этапы, отдельные виды работ. В приказе определяется подразделение или временный творческий (научно-технический) коллектив, который будет вести работы по созданию (совершенствованию) системы.
В соответствии со сложившейся практикой разработки сложных систем устанавливаются следующие стадии:
предпроектирование работ (обследование и разработка технического задания);
проектирование (разработка технического, рабочего или технорабочего проектов); ввод СЗИ в эксплуатацию.
Окончательное решение о стадийности проектирования разработки СЗИ определяется на стадии предпроектных работ при разработке ТЗ исходя из производственно-технических условий, экономических возможностей, особенностей СЗИ и используемых технических средств.
Список используемой литературы
1. Гавриш В.А. «Практическое пособие по защите коммерческой тайны» - Симферополь: Таврия, 2010 г.
2. Кащеев В.И. «Обеспечение информационной безопасности коммерческого объекта // Системы безопасности - М.: 2010 г.
3. Козлов С.Б. «Предпринимательство и безопасность» - М.: Универсум, 2011 г.
4. Крысин А.В. «Безопасность предпринимательской деятельности» - М.: Финансы и статистика, 2012 г.
5. Куваева М.В. «Коммерческая информация: способы получения и защиты» - М.: Юрист, 2011 г.
6. Мазеркин Д. «Защита коммерческой тайны на предприятиях различных форм собственности» - М.: 2010 г.
7. Полянский Э. «Формула безопасности» - М.: Радио и связь, 2010 г.
8. Самолов В. «Система безопасности предприятия // Мы и безопасность» - М.: 2012 г.
9. Халяпин Д.Б. «Основы защиты информации» - М.: ИПКИР, 2012 г.
10. Шиверский А.А. «Защита информации: проблемы теории и практика» - М.: Юрист, 2011 г.
11. Ярочкин В.И. «Инструкция по защите конфиденциальной информации при работе с зарубежными партнерами» - М.: ИПКИР, 2012 г.
12. Ярочкин В.И. «Несанкционированный доступ к источникам конфиденциальной информации» - М.: Ось-89, 2012 г.
13. Ярочкин В.И. «Каталог обобщенных мероприятий по защите конфиденциальной информации» - М.: ИПКИР, 2011 г.
14. Ярочкин В.И. «Информационная безопасность» - М.: Гаудеамус, 2013 г.
15. Антивирусная программа Антивирусная программа Википедия -- свободная энциклопедия
16. Microsoft Security Essentials - иллюзия защиты. Записки IT специалиста
17. Информационная безопасность Википедия -- свободная энциклопедия
Размещено на Allbest.ru
...Подобные документы
Существенные признаки понятия конфиденциальности. Понятие информационной безопасности государства. Нормативные документы в данной области. Органы, обеспечивающие ИБ. Направления защиты информационной системы. Этапы создания средств защиты информации.
презентация [63,6 K], добавлен 21.05.2015Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа [43,6 K], добавлен 05.09.2013Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
дипломная работа [771,4 K], добавлен 13.06.2012Нормативно-правовые акты Российской Федерации в области информационной безопасности. Порядок организации работ по защите информации в информационных системах. Общий подход к разработкам технического задания на разработку системы защиты этой сферы.
курсовая работа [31,3 K], добавлен 05.05.2015Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Проект комплексной системы защиты информации на примере Администрации г. Миасса: объект защиты; модель бизнес-процессов с целью выявления конфиденциальной информации, "Перечень сведений конфиденциального характера", объекты защиты, угрозы, уязвимости.
курсовая работа [2,6 M], добавлен 16.04.2008Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
дипломная работа [1,6 M], добавлен 26.05.2014Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.
контрольная работа [34,1 K], добавлен 29.08.2013Классификация мер противодействия угрозам информационной безопасности. Системное администрирование. Обеспечение интернет-безопасности на предприятии. Повышение уровня доверия к автоматизированным системам управления. Определение сетевой архитектуры.
дипломная работа [295,5 K], добавлен 03.07.2015Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.
курсовая работа [350,4 K], добавлен 10.06.2014Изучение и характеристика правовых, организационных и технических мер информационной безопасности. Технические средства защиты от утечек информации: криптография, идентификация пользователей и управление доступом. Описание алгоритма защиты базы данных.
курсовая работа [788,8 K], добавлен 27.04.2013Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Анализ проблемных аспектов построения и функционирования системы физической защиты информации предприятия. Модель угроз информационной безопасности. Разработка и обоснование модели и процедур выбора средств СФЗИ на основе метода анализа иерархий.
дипломная работа [2,6 M], добавлен 01.07.2011Коммерческая, служебная, личная и семейная тайна. Нормативные документы в области информационной безопасности. Службы, организующие защиту на уровне предприятия информации. Аннотация тематических веб-сайтов. Тематическая схема защиты информации.
статья [61,8 K], добавлен 25.11.2011Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.
контрольная работа [26,6 K], добавлен 26.05.2010