Безопасность и технологии защиты управленческой информации

Главной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение разглашения, утраты, утечки, искажения и уничтожения служебной информации и персональной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. 

Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности.

Задачи формирования системы информационной безопасности в организации являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована.

Создание систем информационной безопасности в ИС и ИТ основывается на следующих принципах:

Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление, как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.

Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

Обеспечение всевозможных средств борьбы с вредоносными программами.

Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.[7]

3.2 Предлагаемые мероприятия по улучшению системы информационной безопасности организации

Выявленные недостатки на предприятии требуют их устранения, поэтому предлагается проведение следующих мероприятий.

регулярное резервное копирование данных (текущих документов, списков групп в электронном виде) на персональных компьютерах сотрудников предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов, внесении неверных изменений в документы;

использовать встроенные в операционную систему и другие программные продукты средства автоматического обновления во избежание угрозы несанкционированного доступа к ПК;

использовать потоковую фильтрацию Интернет трафика сотрудников факультета и блокировать его для предотвращения передачи конфиденциальных данных;

использовать корпоративный почтовый сервер для ведения деловой переписки, обмена документами с другими сотрудниками академии и представительствами;

проводить тренинги среди сотрудников по повышению компьютерной грамотности и обучения работы с автоматизированными системами предприятия;

ограничение доступа в архив для не профильных сотрудников - только секретари должны иметь доступ архив; Эффективность предложенных мероприятий.

Предложенные меры несут в себе не только положительные моменты, такие как устранение основных проблем на предприятии, касающихся информационной безопасности. Но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности. Потребует дополнительных затрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческий фактор, форс-мажорные обстоятельства. Но если такие меры не предпринять затраты на восстановление информации, потерянные возможности по стоимости превзойдут те затраты, что требуются для разработки системы безопасности.[8].

3.3 Совершенствование системы безопасности информации ограниченного доступа

Для решения проблемной ситуации (создания системы конфиденциального делопроизводства) в организации необходимо:

1. Выделить, объединив участников документооборота, самостоятельное структурное подразделение (службу конфиденциального делопроизводства). Разработать положение о подразделении, должностные инструкции работников подразделения;

2. Разработать новую инструкцию о конфиденциальном делопроизводстве, устанавливающую порядок составления, оформления конфиденциальных документов, конфиденциального документооборота, контроль исполнения конфиденциальных документов, согласования документов, ведения делопроизводства. Ознакомить всех сотрудников организации.

3. Необходимо обучить сотрудников, правилам работы с конфиденциальными документами.

4. Выделить помещение для службы конфиденциального делопроизводства. В нем должно быть помещение для хранения конфиденциальных документов, помещение для работы с конфиденциальными документами. Это помещение должно быть оборудовано соответствующим образом:

< перед входом в помещение должна быть установлена камера видеонаблюдения;

< на дверях должен стоять кодовый замок или идентификатор;

< в помещениях должен быть установлен кондиционер;

< должен стоять сейф или металлические шкафы для хранения документов;

< рабочие места в помещениях для работы сотрудников должны быть огорожены специальными перегородками;

< на окнах необходимо повесить жалюзи или светонепроницаемые шторы.

5. Ввести пропускной режим

6. Все конфиденциальные документы должны быть сосредоточены в службе конфиденциального делопроизводства.

7. Выделить специальное помещение и оборудовать соответствующим образом для проведения конфиденциальных совещаний и переговоров.

8. Необходимо разработать положение о конфиденциальной информации, правила работы с конфиденциальными документами.

9. В целях обеспечения информационной безопасности внутренняя сеть и Интернет должны быть разделены. В идеале, компьютер для выхода в Интернет должен быть обособлен и, не иметь никакой прямой связи с другими рабочими станциями.

10. Удобнее всего (для постоянного использования) хранить архивы на оптических носителях, которые в конце рабочего дня должны сдаваться в службу конфиденциального делопроизводства.

11. Исходя из ситуации, и в целях совершенствования системы защита информации, нужно, чтобы на предприятии функционировала служба безопасности.

Функции, которой будут следующими:

< организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, арендаторами, партнерами и посетителями;

< разрабатывает основополагающие документы с целью закрепления в них требований обеспечения безопасности и защиты государственной тайны и конфиденциальной информации, в частности устава, правил внутреннего трудового распорядка, положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

< разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся информацией ограниченного доступа, при всех видах работ организует и контролирует выполнение требований инструкции по защите конфиденциальной информации;

< изучает все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций в отношении деятельности организации и е клиентов, партнеров, смежников;

< организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности организации;

< разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих конфиденциальную информацию и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиту информации;

< обеспечивает строгое выполнение требований нормативных документов по защите конфиденциальной информации;

< осуществляет руководство службами и подразделениями безопасности предприятий организации в части оговоренных в договорах условий по защите конфиденциальной информации

< организует и регулярно проводит учебу сотрудников фирмы и службы безопасности по всем направлениям защиты конфиденциальной информации, добиваясь, чтобы к охране коммерческих секретов был глубоко осознанный подход;

< ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальной информации;

< ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

Служба безопасности должна быть самостоятельной организационной единицей, подчиняющейся непосредственно генеральному директору организации.

Возглавлять службу безопасности должен начальник службы в должности заместителя генерального директора по безопасности.

Особое внимание следует обратить на обучение сотрудников, занимающихся сбытом продукции и услуг компании. Эти люди часто находятся в ситуациях, благоприятных для утечки информации. Они должны быть четко проинструктированы, что можно говорить, что нельзя. Нередки анонимные запросы от "потенциальных клиентов" с просьбой сообщить информацию об изделии для понимания того, как его применить наилучшим образом. Конкурент может выяснить существенные вещи, проанализировав эту, незначительную, на первый взгляд, информацию. Лучше всего, чтобы люди, занимающиеся сбытом, не обладали информацией о новых разработках, еще не поступивших в производство. Надо быть предельно осторожным при проведении различных ярмарок, выставок, торговых показов. Весь персонал, работающий на них, должен быть самым тщательным образом проинструктирован.

Альтернативный путь организации - формирование совета по безопасности. Для совета выбирается один представитель от каждого отдела. Это позволит службе безопасности иметь как бы своего делегата в каждом отделе, который будет пояснять программу безопасности и сам иногда проводить тренинги. Созданный таким образом совет обучает работников и выявляет возникающие проблемы по защите коммерческой тайны. Такая система имеет следующие преимущества:

< укрепляются связи между сотрудниками службы безопасности и сотрудниками производства;

< растет понимание требований защиты информации сотрудниками;

< развиваются и совершенствуются стратегии обеспечения защиты информации в каждом отделе, получается поддержка правил и норм, установленных администрацией;

< рассмотрение существующих проблем безопасности с позиций отделов;

< сокращение штата службы безопасности;

< экономия средств на тренинги.

Важно уделить внимание поддержанию и совершенствованию нововведении, чтобы не вернуться к прежним методам работы. Итогом данного исследования является принятие руководством анализируемого предприятия решения о необходимости совершенствования конфиденциального делопроизводства с учетом всех описанных рекомендаций и факторов по их внедрению.[15]

Заключение

Статистика показывает, что во всех странах убытки от злонамеренных действий непрерывно возрастают. Причем основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними, т.е. с нереализованностью системного подхода. Поэтому необходимо опережающими темпами совершенствовать комплексные средства защиты.

Защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации. При этом защита не должна представлять собой нечто статичное, а являться непрерывным процессом. Но этот процесс не осуществляется сам по себе, а происходит в результате деятельности людей. Деятельность же, по определению, включает в себя не только процесс, но и цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.

Понятия защита информации, безопасность информации, информационная безопасность являются базовыми, поскольку их сущность определяет в конечном итоге политику и деятельность в сфере защиты информации. В то же время эти понятия взаимосвязаны и взаимообусловлены. Защита не должна представлять собой нечто статичное, она должна осуществляться непрерывно. Этот процесс происходит не сам по себе, а в результате определенной деятельности людей, которая, по определению, включает в себя цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.

Что касается выявления недостатков в системе защиты информации, то самым уязвимым местом в системе безопасности можно назвать сотрудников предприятия и программно - аппаратные средства. В частности не выполняется резервное копирование данных на персональных компьютерах при отказах оборудования некоторые важные данные могут быть потеряны; не выполняется обновление операционной системы MS Windows XP и использующегося ПО, что может привести к несанкционированному доступу к хранящейся на ПК информации или её повреждению из-за ошибок в ПО; доступ сотрудников к ресурсам Интернета не контролируется, из-за этого может произойти утечка данных; деловая электронная переписка ведётся через Интернет по незащищённым каналам, сообщения электронной почты хранятся на серверах почтовых служб в Интернете; некоторые сотрудники имеют недостаточные навыки работы с автоматизированными системами, используемыми в академии, что может привести к появлению в системе неверных данных; сотрудники имеют доступ к персональным компьютерам своих коллег, что по неосторожности может привести к потере данных; доступ в архив имеют все сотрудники факультета, в результате чего некоторые личные дела могут быть потеряны или их поиск может занять длительное время; отсутствуют нормативные документы по безопасности.

Выявленные недостатки на предприятии требуют их устранения, поэтому предлагается проведение следующих мероприятий.

регулярное резервное копирование данных (текущих документов, списков групп в электронном виде) на персональных компьютерах сотрудников предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов, внесении неверных изменений в документы;

использовать встроенные в операционную систему и другие программные продукты средства автоматического обновления во избежание угрозы несанкционированного доступа к ПК;

использовать потоковую фильтрацию Интернет трафика сотрудников факультета и блокировать его для предотвращения передачи конфиденциальных данных;

использовать корпоративный почтовый сервер для ведения деловой переписки, обмена документами с другими сотрудниками академии и представительствами;

проводить тренинги среди сотрудников по повышению компьютерной грамотности и обучения работы с автоматизированными системами предприятия;

ограничение доступа в архив для не профильных сотрудников - только секретари должны иметь доступ архив;

Предложенные меры несут в себе не только положительные моменты, такие как устранение основных проблем на предприятии, касающихся информационной безопасности. Но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности. Потребует дополнительных затрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческий фактор, форс-мажорные обстоятельства. Но если такие меры не предпринять затраты на восстановление информации, потерянные возможности по стоимости превзойдут те затраты, что требуются для разработки системы безопасности. При реализации предложенных мер могут быть достигнуты следующие результаты:

повышение надежности системы ИБ организации;

повышение уровня владения ПК персонала;

уменьшение риса потери и несанкционированного изменения информации;

наличие нормативного документа определяющего политику безопасности.

Список использованной литературы

1. Алексенцев А.И. Сущность и соотношение понятий «защита информации», «безопасность информации» и «информационная безопасность» // Безопасность информационных технологий, № 1, 1999

2. Баутов А.Г. Эффективность защиты информации //Открытые системы.- 2003.- №07-08.

3. Биячуев, Т.А. Безопасность корпоративных сетей / Т.А. Биячуев. - СПб: СПб ГУ ИТМО, 2008.- 161 с.

4. Вихорев, С. Как определить источники угроз / С. Вихорев, Р.Кобцев //Открытые системы. - 2002. - №07-08.-С.43.

5. Волчков, А. Современная криптография / А.Волчков // Открытые системы.- 2005. - №07-08. -С.48.

6. Гмурман, А.И. Информационная безопасность/ А.И. Гмурман - М.: «БИТ-М», 2004.-387с.

7. Дъяченко, С.И. Правовые аспекты работы в ЛВС/ С.И. Дъяченко-СПб.: «АСТ», 2008.- 234с.

8. Домарев Л.А. Безопасность информационных технологий. - М.: Диасофт, 2002. - 688 с

9.Журавленко Н.И., Кадулин В.Е., Борзунов К.К. Основы информационной безопасности: Учебное пособие. - Москва: Московский университет МВД России, 2007.

10. Зима, В. Безопасность глобальных сетевых технологий / В.Зима, А. Молдовян, Н. Молдовян - СПб.: BHV, 2000. - 320 с.

11. Конахович, Г. Защита информации в телекоммуникационных системах/ Г.Конахович.-М.:МК-Пресс, 2005.- 356с.

12. Коржов, В. Стратегия и тактика защиты / В.Коржов //Computerworld Россия.- 2004.-№14.-С.26.

13.Карпычев В.Ю., Минаев В.А. Цена информационной безопасности // Системы безопасности, № 5 (53), 2003.

14. Мельников В. Защита информации в компьютерных системах. - М.: Финансы и статистика, Электронинформ, 1997

15. Острейковский, В.А. Информатика: Учеб. пособие для студ. сред. проф. учеб. Заведений/ В.А. Острейковский- М.: Высш. шк., 2001. - 319с.:ил.

16. Семенов, Г. Цифровая подпись. Эллиптические кривые / Г.Семенов // Открытые системы.- 2002. - №07-08. - С.67-68.

17. Титоренко Г.А. Информационные технологии управления. М., Юнити: 2002.

18.Торокин А.А. Инженерно-техническая защита информации. Учебное пособие. - М.: Гелиос АРВ, 2005.

19. Устинов, Г.Н. Уязвимость и информационная безопасность телекоммуникационных технологий/ Г.Н. Устинов- М.: Радио и связь, 2008.-342с.

20. Шахраманьян, М.А. Новые информационные технологии в задачах обеспечения национальной безопасности России/ Шахраманьян, М.А. - М.: ФЦ ВНИИ ГОЧС, 2008.- 222с.

21. Экономическая информатика / под ред. П.В. Конюховского и Д.Н. Колесова. - СПб.: Питер, 2008. - 560с.:ил.

Размещено на Allbest.ru