Информационные угрозы и безопасность

Размещено на http://www.allbest.ru/

ВСТУПЛЕНИЕ

Современное общество - это цивилизация, в основе развития и существования которой лежит особая нематериальная субстанция, условно именуемая «информацией», обладающая свойством взаимодействия, как с духовным, так и с материальным миром человека.

Информация - это та субстанция, которая сопровождает нас всю жизнь. Информация позволяет человеку познавать мир и ощущать себя его частью, общаться с другими людьми, воспитывать детей, решать бытовые проблемы, заниматься хозяйственной деятельностью, творческим трудом. С помощью информации организуется совместный труд людей, образовываются профессиональные союзы, коллективные хозяйства, политические партии и объединения. Без информации не может развиваться экономика. На основе информации принимаются решения о том, как правильно собирать налоги и их расходовать, вести борьбу с организованной преступностью и коррупцией. Одним словом, информация является основой деятельности органов законодательной, исполнительной и судебной властей, всей системы государственного управления, управления Вооруженными Силами.

Таким образом, с одной стороны, информация формирует материальную среду жизнедеятельности социума, выступая в роли инновационных технологий, компьютерных программ, телекоммуникационных протоколов и т. п., а с другой служит основным средством межличностных и межгосударственных взаимоотношений.

Информационная безопасность является категорией исторической. Угрозы информационной безопасности и способы защиты информации и информационных ресурсов постоянно меняются, как меняются во времени и пространстве наше общество и технологии. Очень важно понять это обстоятельство, чтобы выработать правильный подход к обеспечению информационной безопасности как процесса, опережающего управление, а не следующего за ним.

Актуальность дипломной работы определяется большим интересом к тематике защиты персональных данных со стороны общественности, современной науки и не проработанность законодательной базы при решении проблем обеспечения информационной безопасности, а так же изменениями в законодательстве РФ. Подписанный 27 июля 2006 года В.В. Путиным Федеральный закон «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» от 17.03.2008 №351, в сферу действия которого попадают все юридические и физические лица, в обработке у которых находятся персональные данные других граждан, обязывает каждую организацию принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Надежное обеспечение информационной безопасности критически важных объектов является одним из важнейших условий для успешного экономического и социально-политического развития российского общества, укрепления обороноспособности страны и безопасности государства. Решение этой проблемы во многом определяется защищенностью информационных ресурсов, телекоммуникационных систем и сетей критически важных объектов, создаваемых и используемых как государственными, так и негосударственными организациями, от угроз преступного или террористического характера в сфере компьютерной информации, деструктивного информационного воздействия со стороны других государств. информационный угроза безопасность программный

Цель дипломной работы - проведение анализа обеспечения информационной безопасности в ООО «АльтексКо», выявление имеющихся недостатков и внедрение предложений по совершенствованию информационной безопасности в организации.

Задачи исследования:

1.Рассмотреть теоретические аспекты информационной безопасности;

2. Дать определение понятию информационных угроз и их видам;

3. Раскрыть принципы построения системы информационной безопасности;

4. Показать особенности организации системы защиты информации.

5. Составить характеристику объекта исследования ООО «АльтексКо»

6. Рассмотреть практическую организацию защиты информационной безопасности в организации.

7.Выделить недостатки практической организацию работы защиты информационной безопасности и подготовить аргументированные выводы и предложения, которые могут быть полезными для сотрудников исследуемого предприятия.

Большая помощь при раскрытии темы была получена из анализа материала следующих источников:

1. Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ, который установил основные понятия (например, информация, документированная информация, информационные технологии, информационная система и др.);

2. Государственный стандарт РФ ГОСТ Р 6.30-2003 "Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов" (принят и введен в действие постановлением Госстандарта РФ от 3 марта 2003 г. N 65-ст). Стандарт распространяется на организационно-распорядительные документы: постановления, распоряжения, приказы, решения, протоколы, акты, письма и др. документы, включённые в ОКУД (класс 0200000);

3. Общероссийский классификатор управленческой документации (ОКУД). Является составной частью Единой системы классификации и кодирования технико-экономической и социальной информации, относится к унифицированным системам документации и формам документов, разрешённых к применению в народном хозяйстве. Объектами классификации по ОКУД являются общероссийские (межотраслевые, межведомственные) унифицированные формы документов, утверждаемые министерствами (ведомствами) - разработчиками унифицированных систем документации (УСД). В ОКУД приведены наименования и кодовые обозначения унифицированных форм документов, входящих в унифицированные системы документации;

При написании дипломной работы были изучены труды авторитетных специалистов в области документоведения:

1. Т.В. Кузнецовой, книга «Делопроизводство (документационное обеспечение управления)», в которой освещены вопросы организации работы с документами, включая организацию документооборота, технологии регистрации документов, контроля за сроками их исполнения, информационно-справочной работы;

2. В.И. Андреевой, учебно-практическое пособие «Делопроизводство: организация и ведение», где автор даёт системное представление о составе управленческой документации, формулирует требования к общей и специальным системам делопроизводства, а также освещает практику ведения делопроизводства в российских организациях;

3. Л.А. Румыниной, учебник «Делопроизводство: Учебник для студентов учреждений среднего профессионального образования», освещены вопросы документирования и организации работы с документами на основе новейших законодательных актов, нормативных документов. Учтена специфика деятельности будущих специалистов в области права и организации социального обеспечения при работе с организационно-распорядительными документами;

4. М.И. Басаков, учебное пособие «Делопроизводство (документационное обеспечение управления)», излагаются основные сведения о порядке разработки и оформлении управленческой документации, об организации делопроизводственной службы, технологии регистрации, учёта и хранения документов.

В процессе подготовки дипломной работы были использованы многочисленные периодические публикации в журнале «Секретарь-референт»:

1. Статья из журнала №8,2013 Н.А. Храмцовской, ведущего эксперта по управлению документацией компании «ЭОС», члена Гильдии Управляющих Документацией и ARMA International «Актуальные проблемы современного делопроизводства и документооборота», в статье раскрываются актуальные проблемы современного делопроизводства, целесообразность внедрения системы электронного документооборота.

2. Статья из журнала №11, 2012 Ю.С. Задориной (документоведа), «Регистрация документов в вопросах и ответах», в статье рассказывается обо всём процессе регистрации документов.

Также источниками для написания дипломной работы явились нормативные материалы организации:

· Устав организации;

· приказы и указания руководства организации и другие материалы.



ГЛАВА 1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

1.1 Теоретические аспекты информационной безопасности

Технологическая революция в области информации, начавшаяся в последней трети ХХ века и продолжающаяся до сих пор, определила появление таких явлений как «информационные войны» и «информационный терроризм». Поэтому важное место в политике национальной безопасности в настоящее время занимает информационная безопасность.

Технологическая революция в области информации связана, прежде всего, с развитием кибернетики, которое привело к созданию информационных систем управления. Вслед за этим повсеместно в массовом порядке стали внедряться персональные компьютеры, что в свою очередь повлекло за собой ускоренные темп развития телекоммуникационных технологий. Затем персональные компьютеры стали объединять в компьютерные сети, вначале локальные, а затем и глобальные. Одновременно с колоссальным ростом популярности Интернета возникает беспрецедентная опасность разглашения персональных данных, критически важных корпоративных ресурсов. Повышение информационной безопасности становится неотложной задачей, решения которой в равной мере требуют и конечные пользователи, и компании [12, c. 7].

Информация превратилась в одно из важнейших средств воздействия на общественные отношения, стала одним из ценнейших товаров. Особенной защиты требует такой «нематериальный» товар как информация. Именно поэтому информационная безопасность в настоящее время является одной из самых развивающихся областей современной науки. Это в равной степени относится как к технической, так и правовой стороне вопроса, касающегося информационной безопасности.

Существует довольно много определений понятия «безопасность». Чаще всего безопасность трактуют как такое состояние, когда нет опасности, т.е. «факторов и условий, угрожающих существованию непосредственно индивиду или его сообществу в форме семьи, населенного пункта или государства» [2, c. 45]. Безопасность довольно часто трактуется как способность объекта сохранять при наличии деструктивных, внешних и/или внутренних воздействий свои важнейшие, системообразующие свойства, основные характеристики и параметры, потеря которых может привести к тому, что объект утрачивает свою сущность, перестает быть самим собой [7, c. 10].

Информационная безопасность -- состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия.

Понятие «информационная безопасность» взаимосвязано с понятием «безопасность информации». Довольно часто их используют как синонимы. Но, как известно, «безопасность» не существует сама по себе, безотносительно к объекту, «без определения объекта понятие «безопасность» является неопределенным, лишенным внутреннего смысла» [7, c. 11]. Выбор объекта безопасности предопределяет содержание понятия «безопасность». Поэтому, если в качестве объекта защиты выступает собственно информация, то понятия «информационная безопасность» и «безопасность информации» действительно становятся синонимами. Но, если в качестве объекта защиты рассматривается некий объект (субъект) -- участник информационных отношений, то слово »информационная» в термине «информационная безопасность» указывает на направление деятельности, посредством которой может быть причинен вред объекту защиты и понятие »информационная безопасность» в этом случае следует трактовать как состояние защищенности данного объекта от угроз информационного характера. С.П. Расторгуев ( доктор технических наук, действительный член РАЕН, МАИ, АСПН и др., профессор Московского государственного университета им. М. В. Ломоносова.), характеризуя современное состояние проблемы, пишет: «В результате проблема защиты информации, которая ранее была как никогда актуальна, перевернулась подобно монете, что вызвало к жизни ее противоположность -- защиту от информации. Теперь уже саму информационную систему и, в первую очередь человека,- необходимо защищать от поступающей «на вход» информации, потому что любая поступающая на вход самообучающейся системы информация неизбежно изменяет систему. Целенаправленное же деструктивное информационное воздействие может привести систему к необратимым изменениям и, при определенных условиях, к самоуничтожению» [1].

В нашей стране основное внимание общественности сконцентрировано исключительно на проблеме защиты информации. Такое положение сложилось в силу многих обстоятельств. В первую очередь, это обусловлено очевидностью. Информация стала товаром, а товар нужно защищать. Значительно реже безопасность информации рассматривается с точки зрения изначальной полноты и надежности информации.

Информационная безопасность включает три составляющие:

- удовлетворение информационных потребностей субъектов;

- обеспечение безопасности информации;

- обеспечение защиты субъектов информационных отношений от негативного информационного воздействия.

1.2 Понятие информационных угроз и их виды

Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Если ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации. Если информация изменяется или уничтожается с потерей ее ценности, то реализуется угроза целостности информации. Если информация вовремя не поступает легальному пользователю, то ценность ее уменьшается и со временем полностью обесценивается, тем самым угроза оперативности использования или доступности информации [4, c. 58].

Итак, реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации. Злоумышленник может ознакомиться с конфиденциальной информацией, модифицировать ее, или даже уничтожить, а также ограничить или блокировать доступ легального пользователя к информации. При этом злоумышленником может быть как сотрудник организации, так и постороннее лицо.

Информационные угрозы могут быть обусловлены: [4, c. 60]:

- естественными факторами (стихийные бедствия - пожар, наводнение, ураган, молния и другие причины);

- человеческими факторами. Последние, в свою очередь, подразделяются на:

а) угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация);

б) с нецеленаправленной «утечкой умов», знаний, информации. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.) с ошибками в работе аппаратуры из-за некачественного ее изготовления;

в) с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);

г) угрозы, обусловленные умышленными, преднамеренными действиями людей. Это угрозы, связанные с передачей, искажением и уничтожением данных по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы);

д) подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной «утечкой умов». Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы.

Утечка конфиденциальной информации - это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

- разглашения конфиденциальной информации;

- ухода информации по различным, главным образом техническим, каналам;

- несанкционированного доступа к конфиденциальной информации различными способами [11, c. 10].

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Виды угроз конфиденциальных документов в документопотоках организации можно разделить на несколько групп [15, c. 31]:

1. Несанкционированный доступ постороннего лица к документам, делам, базам данных за счет его любопытства или обманных, провоцирующих действий, а так же случайных или умышленных ошибок персонала фирмы;

2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

3. Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;

5. Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

6. Гибель документов в условиях экстремальных ситуаций.

Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируется по степени риска следующим образом:

* Непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;

* Кражи и подлоги информации;

* Стихийные ситуации внешней среды;

* Заражение вирусами.

В соответствии с характером указанных выше угроз формируется задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя [3, c. 107-108].

Таким образом, безопасность - это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. Организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей. Должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учета, хранения и уничтожения конфиденциальной документов организации.



1.3 Принципы построения системы информационной безопасности

Информационная сфера в настоящее время стала системообразующим фактором жизни общества, и чем активней эта сфера общественных отношений развивается, тем больше политическая, экономическая, оборонная и другие составляющие национальной безопасности любого государства будут зависеть от информационной безопасности, и в ходе развития технического прогресса эта зависимость будет все более возрастать.

Необходимость информационной безопасности обусловлена следующими особенностями современной социально-политической ситуации в нашей стране и мировом сообществе [5].

Во-первых, в новых условиях резко расширившихся возможностей по реализации конституционных прав граждан на свободу экономической, интеллектуальной и других видов деятельности существенно увеличились потребности социально активной части общества в информационном взаимодействии как внутри страны, так и с внешним миром.

Во-вторых, интенсивное развитие информационной инфраструктуры, интеграция в мировое информационное пространство усилили зависимость эффективности функционирования общества и государства от состояния информационной сферы.

В-третьих, индустрия информатизации и информационных услуг стала одной из наиболее динамично развивающихся сфер мировой экономики, способной на равных конкурировать по доходности с топливно-энергетическим комплексом, автомобилестроением, производством сельскохозяйственной продукции.

Прежде всего, нормативная правовая база обеспечения информационной безопасности не охватывает всего круга проблем в этой области, а в отдельных вопросах просто противоречива [14, c. 4].

Другая проблема связана с отставанием отечественных информационных и телекоммуникационных технологий, что вынуждает органы государственной власти при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. В то же время из-за отсутствия необходимого финансирования низки темпы работ по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти, не обеспечивается в необходимых объемах производство сертифицированных средств защиты информации, включая отечественные защищенные операционные системы и прикладные программные средства [6].

Узким местом является и недостаточная проработка региональных проблем информационной безопасности, отсутствие необходимой координации деятельности государственных и региональных органов государственной власти, государственных и негосударственных организаций в этой области. Следует отметить, что первыми это ощутили и осознали сами регионы, а некоторые из них в последнее время стали предпринимать определенные практические шаги в этом направлении. Однако эти действия пока осуществляются без должной координации [2, c. 3-5].

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:

- правовые (законодательные);

- морально-этические; технологические;

- организационные (административные и процедурные);

- физические;

- технические (аппаратурные и программные).

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы [6].

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные, так и писаные, то есть оформленные в некоторый свод правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала [6].

К технологическим мерам защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий.

Организационные меры защиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.) [6].

1. Нормативные и организационно-распорядительные документы составляются с учетом и на основе существующих норм морали и этики.

2. Организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учетом существующих правил поведения, принятых в стране и/или организации

3. Воплощение организационных мер требует разработки соответствующих нормативных и организационно-распорядительных документов

4. Для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами

5. Применение и использование технических средств защиты требует соответствующей организационной поддержки.

Построение системы обеспечения безопасности информации в системе делопроизводства и ее функционирование должны осуществляться в соответствии со следующими основными принципами: законность, системность, комплексность, непрерывность, своевременность, преемственность и непрерывность совершенствования, разумная достаточность, персональная ответственность, разделение функций, минимизация полномочий, взаимодействие и сотрудничество, гибкость системы защиты, открытость алгоритмов и механизмов защиты, простота применения средств защиты, научная обоснованность и техническая реализуемость, специализация и профессионализм, взаимодействие и координация, обязательность контроля [5].

Законность предполагает осуществление защитных мероприятий и разработку системы безопасности информации в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.

Системный подход к защите информации в системе делопроизводства предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности в системе делопроизводства.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и пути проникновения в распределенные системы и НСД к информации.

Комплексное использование методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами.

Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС).

Защита информации - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер [6].

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.).

Своевременность предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите системы делопроизводства и реализацию мер обеспечения безопасности информации.

Преемственность и совершенствование предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования системы делопроизводства и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

Принцип разделения функций, требует, чтобы ни один сотрудник организации не имел полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Все такие операции должны быть разделены на части, и их выполнение должно быть поручено различным сотрудникам. Кроме того, необходимо предпринимать специальные меры по недопущения сговора и разграничению ответственности между этими сотрудниками.

Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат) предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала [9, c. 123].

Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

Минимизация полномочий означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

Взаимодействие и сотрудничество предполагает создание благоприятной атмосферы в коллективах подразделении. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений обеспечения безопасности информации.

Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на уже работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет от необходимости принятия кардинальных мер по полной замене средств защиты на новые [9, c. 125].

Открытость алгоритмов и механизмов защиты заключается в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам).

Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Информационные технологии, технические и программные средства, средства и меры защиты информации в системе делопроизводства должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.

Специализация и профессионализм предполагают привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственные лицензии на право оказания услуг в этой области.

Взаимодействие и координация предполагают осуществление мер обеспечения безопасности информации на основе взаимодействия всех заинтересованных министерств и ведомств, предприятий и организаций при функционировании системы делопроизводства и системы защиты ее информации, подразделений и специалистов органов МВД специализированных предприятий и организаций в области защиты информации, привлеченных для разработки системы защиты информации в системе делопроизводства [9, c. 126].

Обязательность контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

1.4 Организация системы защиты информации

Технологические, производственные и коммерческие данные, которые используют предприятия, обладают высокой стоимостью, а их утрата или утечка может привести к серьезным финансовым потерям. Поэтому одной из целей для предприятий отрасли является создание надежной системы защиты информации (СЗИ).

Система защиты информации -- это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия.

Целями защиты информации являются [1]:

- предотвращение утечки, хищения, утраты, искажения, подделки, несанкционированных действий по уничтожению, модификации, копированию, блокированию документированной информации и иных форм незаконного вмешательства в информационные системы;

- сохранение полноты, точности, целостности документированной информации, возможности управления процессом обработки и пользования в соответствии с условиями, установленными собственником этой информации или уполномоченным им лицом;

- обеспечение прав физических и юридических лиц на сохранение конфиденциальности документированной информации о них, накапливаемой в информационных системах;

- защита прав субъектов в сфере информатизации;

- сохранение секретности, конфиденциальности документированной информации в соответствии с правилами, определенными настоящим Законом и иными законодательными актами.

Процесс создания системы защиты информации можно разделить на три этапа [10, c. 52]:

- формирование политики предприятия в области информационной безопасности;

- выбор и внедрение технических и программных средств защиты;

- разработка и проведение ряда организационных мероприятий.

При этом следует учитывать государственные нормативные документы и стандарты, которые регулируют вопросы информационной безопасности на предприятиях.

Фундаментом для создания системы защиты информации является документ, в котором формулируются принципы и основные положения политики предприятия в области информационной безопасности. Данный документ охватывает следующие вопросы [8].

1. Разработка правового обеспечения защиты информации. Фактически это система нормативно-правовых документов, актуальных для деятельности предприятия. В состав правового обеспечения включаются государственные законы и акты (например, закон о государственной тайне), внутренние нормативные и организационные документы предприятия (устав, правила внутреннего распорядка, инструкции для сотрудников о сохранении коммерческой или иной тайны и т.д.).

2. Определение потенциальных угроз безопасности информации. Их можно разделить на три группы -- это угрозы, возникающие:

- вследствие действий человека -- это могут быть как случайные ошибки специалистов предприятия при работе с информационной системой (неправильный ввод данных или их удаление), так и предумышленные действия (кража документов или носителей информации);

- вследствие некорректной работы или отказа технических или программных средств (например, сбой в работе операционной системы, вызванный вирусом);

- из-за стихийных бедствий, природных катаклизмов, форс-мажорных обстоятельств (наводнения, пожары, смерчи, военные действия и т.д.).

3. Составление перечня данных, подлежащих защите. Информация, которая используется на предприятии, может быть открытой или закрытой. К первому типу относятся сведения, которые не составляют государственной или коммерческой тайны, не относятся к категории конфиденциальной информации. Ущерб от потери подобного рода сведений не является значительным, поэтому их защита не приоритетна.

Ко второму типу относятся:

- данные, являющиеся государственной тайной -- их перечень определяется законодательством;

- коммерческие или служебные сведения -- любая информация, связанная с производством, финансами, использующимися технологиями, утечка или утрата которой может нанести ущерб интересам предприятия;

- персональные данные сотрудников.

4. Создание подразделения, ответственного за вопросы защиты информации. Как правило, на предприятиях существует разделение функций, связанных с обеспечением информационной безопасности. Это подразумевает, что за разработку политики защиты данных, выполнение организационных мер отвечает служба безопасности компании, а вопросы, связанные с применением любых программных и аппаратных средств, включаются в компетенцию ИТ-подразделения. Нередко возникают ситуации, когда стремление как можно надежнее защитить данные вступает в противоречие с потребностями бизнеса предприятия.

5. Определение основных направлений обеспечения информационной безопасности. В рамках решения этой задачи, в частности, обозначаются компоненты, которые нуждаются в защите, определяются необходимые программные и технические средства, формулируются организационные меры, направленные на защиту информации.

Основным вопросом в плане обеспечения информационной безопасности является защита в системе делопроизводства, которая осуществляется за счет применения программных и технических средств.

Сложность решения этой задачи обуславливается двумя факторами. Во-первых, доступ к ресурсам системы имеет огромное количество пользователей, которые находятся в нескольких территориально-распределенных подразделениях. Во-вторых, ее работа строится на взаимодействии целого ряда программных и аппаратных компонентов.

С точки зрения применения технических и программных средств защиту информации в системе управления можно разбить на три направления -- это защита содержания данных, обеспечение сохранности информации при форс-мажорных обстоятельствах (сбои в электропитании, пожары и т.д.) и устранение возможности для несанкционированного доступа к ресурсам системы предприятия.

Для защиты содержания данных обычно применяют криптографические технологии -- шифрование и электронную цифровую подпись, что позволяет добиться конфиденциальности и целостности информации, ее однозначной аутентификации. При этом метод шифрования позволяет защитить информацию даже в случае кражи ее носителя (например, жесткого диска сервера) [13, c. 148].

Наиболее масштабной и сложной является задача предотвращения несанкционированного доступа к информации в системе делопроизводства. Ее решение разбивается на несколько подзадач -- это обеспечение защиты персональных компьютеров, серверов и сетевых соединений.

Защита персональных компьютеров подразумевает предотвращение случаев запуска системы пользователями, у которых нет соответствующих прав. Доступ к системе должен регламентироваться в строгой привязке к конкретным рабочим местам пользователей и их функциональным обязанностям.

Один из механизмов подобной защиты -- это идентификация пользователей, которая проводится несколькими способами. К числу наиболее распространенных можно отнести метод парольной идентификации. Она выполняется как с помощью включенных в программное обеспечение средств (входят в состав BIOS, любых операционных систем, СУБД, ERP-систем), так и с помощью внешних компонентов. Это могут быть, например, аппаратные модули доверенной загрузки -- иногда их называют «электронный замок». Функции подобных устройств заключаются в идентификации пользователя и проверке целостности программного обеспечения. Если на компьютере работает только один пользователь, то данных средств обычно достаточно для обеспечения надежной защиты системы.

При работе на одном компьютере нескольких пользователей, кроме задачи идентификации пользователей, необходимо решить вопрос разделения их полномочий. Для этих целей возможно использование специальной программы защиты, которая запускается при старте операционной системы. Она контролирует действия пользователей по запуску приложений и обращения к данным. При этом все операции фиксируются в журнале.

Идентификация пользователей может вестись не только с помощью системы паролей, но и на основе биометрических технологий. В этом случае в качестве уникальных идентификаторов используются отпечаток ладони или пальцев пользователя, рисунок радужной оболочки глаза. Еще один способ однозначного определения пользователей -- применение таких средств, как электронные ключи, смарт-карты [13, c. 150].

Защита серверов также проводится за счет идентификации пользователей и разграничения прав доступа. Использование специальной системы протоколирования и аудита позволяет фиксировать все действия пользователей, связанные с обращением к серверу, анализировать их для выявления потенциально опасных ситуаций.

Защита сетевых соединений обеспечивается с помощью аутентификации рабочих станций и серверов, основанной на применении технологий цифровой подписи, шифрования и инкапсуляции IP-пакетов. Для обеспечения контроля над информационными потоками между различными сегментами корпоративной сети и внешней средой (например, Интернетом) может использоваться технология межсетевого экранирования. Межсетевые экраны -- это программно-аппаратные средства, которые позволяют вести мониторинг данных, поступающих из внешней среды, и оценивать их на предмет угрозы для внутренней сети предприятия.

Организационные мероприятия, связанные с защитой информации, обычно включают в себя [6]:

- разработку инструкций и регламентов для сотрудников;

- организацию охраны помещений и разработку пропускного режима;

- ограничение доступа в помещения, где размещены серверы;

- хранение носителей информации и бумажной документации в сейфах или других защищенных местах;

- установку мониторов компьютеров, клавиатуры, принтеров таким образом, чтобы исключить возможность просмотра или копирования информации посторонними лицами;

- ликвидацию ненужных носителей информации и документов;

- уничтожение всей информации на жестких дисках компьютеров, где были установлены компоненты системы, перед их отправкой в ремонт;

- проведение регулярных проверок по соблюдению всех правил, положений и инструкций, связанных с обеспечением информационной безопасности.

Для минимизации рисков, связанных с несанкционированным доступом на предприятие или в его отдельные подразделения, может использоваться метод создания рубежей защиты. Это подразумевает, что территория предприятия разбивается на несколько зон, ранжированных по степени закрытости для сотрудников или посетителей. В результате возникает возможность для разграничения доступа к наиболее важным информационным ресурсам предприятия. Тем самым обеспечивается их максимальная защита [15, c. 211].

Необходимые затраты можно разделить на прямые и косвенные.

Прямые затраты -- это:

- стоимость программного и аппаратного обеспечения, необходимого для защиты данных в автоматизированной системе управления;

- стоимость внедрения средств защиты (для этого может потребоваться перенастройка использующегося программного обеспечения и оборудования, прокладка дополнительной кабельной сети и т.д.);

- стоимость поддержки внедренных средств, обучения специалистов;

- стоимость дополнительных технических средств (например, систем бесперебойного питания, систем для организации пропускного режима);

- стоимость управления системой защиты информации (например, заработная плата сотрудникам подразделения, занимающегося вопросами информационной безопасности, оборудование рабочих мест и т.д.);

- стоимость последующей модернизации программно-аппаратного обеспечения и других технических средств.

К косвенным затратам относятся потери предприятия, возникающие в результате сбоя или простоев в работе автоматизированной системы управления. Это может являться, например, следствием неправильного выбора, установки или настройки средств защиты информации [15, c. 212].

Главный результат создания надежной системы защиты информации заключается в отсутствии потерь. К числу наиболее неприятных последствий подобных инцидентов компании относятся прямые финансовые убытки, удар по репутации, потерю клиентов, снижение конкурентоспособности. Тем самым обеспечение информационной безопасности компании имеет вполне конкретный экономический смысл.

Разработка системы защиты позволяет комплексно подойти к решению вопросов информационной безопасности предприятия. За счет применения программных и аппаратных средств, выполнения организационных мероприятий обеспечивается сохранность данных, и минимизируются риски потери информации.

Главная цель информационной безопасности - защита законных прав граждан, организаций, общества. Реализация защиты правовыми методами, в частности судебная защита, возможна только посредством закрепления в законодательных актах и общественном обращении правового толкования базовых терминов, на основе использования которых только и может строиться разрешения конфликтных ситуаций правовыми методами.

Исходя из социальной сущности информационной безопасности, информационному обществу необходимо решать следующие задачи, а именно совершенствовать системы социальных ценностей, системы обеспечения информационной безопасности и системы общественного контроля над действиями государства по обеспечению информационной безопасности



ГЛАВА 2. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ В ООО «АЛЬТЕСКО»

2.1 Описание сети предприятия и ее особенности

Для практической части данной работы было выбрано общество с ограниченной ответственностью производственное объединение «АльтесКо» (далее ООО «АльтесКо») на примере которого будет предложено организовать его эффективную защиту от большинства существующих и актуальных угроз информационной безопасности.

Предприятие занимается уже несколько лет производством текстильных изделий. Это далеко не полный перечень довольно востребованных в своей категории товаров на рынке. Поэтому, предприятие довольно успешно развивается и по сей день.

На предприятии присутствуют сведения, составляющие коммерческую тайну, такие как например:

Материалы об открытиях и изобретениях, сделанных на предприятии и имеющих крупное значение.

Информация о потенциальных заказчиках.

Конкретные сведения о контрагентах и исполнителях, выполняемых ими работах, их полные названия и принадлежность.

Данные о балансе доходов и расходов по предприятию

Данные, раскрывающие уровни и лимиты цен на товар, продажа которого на текущий год еще не закончена.

В ООО «АльтесКо» существует своя локальная сеть, доступ к которой имеют только работники. В большинстве случаев имеется доступ лишь к ограниченному числу сайтов этой сети, необходимых в ходе трудовой деятельности. Информация о каждом выходе в сеть фиксируется системным администратором. Это также относится к сети Интернет.

Количество рабочих станций в сети - 21. Они объединены в несколько рабочих групп:

директор предприятия - одна рабочая станция;

секретарь - одна рабочая станция.

отдел сбыта - 4 рабочих станции;

отдел снабжения - две рабочих станции;

отдел технологов - 4 рабочих станции;

отдел кадров - две рабочих станции;

бухгалтерия предприятия- 7 рабочих станций;

Схема сети административной части данного предприятия имеет топологию «звезда».

По топологии «звезда», которая была выбрана изначально разработчиками для данной сети, каждая рабочая станция соединяется с центральным сетевым концентратором (hub) отдельным сегментом сетевого кабеля.

Подобная сеть проявляет довольно высокую устойчивость к сбоям, которые могут быть при физическом повреждении одного из сетевых кабелей (сеть остается работоспособной, не работает только рабочая станция, к которой подведен поврежденный кабель). Немаловажно и то, что сбои на любом конкретном компьютере (рабочей станции) сети не ведут к неполадкам всей сети. Новую рабочую станцию ввести в действие достаточно легко при данной топологии, сеть в целом неплохо управляется.

Из недостатков следует отметить лишь большой расход кабеля при постройке сети и то, что отказ концентратора (hub) может привести в сбою работы всей сети.

Поэтому, считается, что выбор топологии сети для данного предприятия наиболее оптимален.

В данной сети предприятия используется метод доступа CSMA/CD. Именно данный метод доступа применяет сетевая архитектура Ethernet, которая используется на предприятии.

Как уже говорилось, сеть построена на основе кабеля витая пара - 10Base - T с использованием кабеля фирмы Siemon, стандарт UTP (Unshielded Twisted Pair) (неэкранированная витая пара) категории 5, международного стандарта Кабельных систем.

...