Автор работы: Пользователь скрыл имя, 06 Сентября 2014 в 09:19, дипломная работа
Целью данной работы будет оценить существующую в организации систему информационной безопасности и разработать мероприятия по её совершенствованию.
Поставленная цель обуславливает следующие задачи дипломной работы:
- рассмотреть понятие информационная безопасность;
- рассмотреть виды возможных угроз информационным системам варианты защиты от возможных угроз утечки информации в организации.
- выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию;
Введение 4
1. Теоретические аспекты понятия и информационная безопасность 6
1.1 Сущность информационной безопасности 6
1.2 Категории действий способных нанести вред информационной безопасности 7
1.3 Методы обеспечения информационной безопасности 19
2. Информационная безопасность в службе ДОУ 32
2.1 Сущность конфиденциального документа 32
2.2 Виды информации конфиденциального характера 49
2.3 Правила оформления, регистрации документации, содержащей конфиденциальные сведения 51
Заключение 71
Список использованных источник
Лучший способ уменьшить количество ошибок в рутинной работе - максимально автоматизировать ее. Автоматизация и безопасность зависят друг от друга, ведь тот, кто заботится в первую очередь об облегчении своей задачи, на самом деле оптимальным образом формирует режим информационной безопасности.
Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум, сформировав компьютерное расписание создания полных и инкрементальных копий, а как максимум - воспользовавшись соответствующими программными продуктами. Нужно также наладить размещение копий в безопасном месте, защищенном от несанкционированного доступа, пожаров, протечек, то есть от всего, что может привести к краже или повреждению носителей. Целесообразно иметь несколько экземпляров резервных копий и часть из них хранить вне территории организации, защищаясь таким образом от крупных аварий и аналогичных инцидентов. Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.
Управлять носителями необходимо для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл - от закупки до выведения из эксплуатации.
Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета носителей. Важно, чтобы документация была актуальной, отражала именно текущее состояние дел, причем в непротиворечивом виде.
К хранению одних документов (содержащих, например, анализ уязвимых мест системы и угроз) применимы требования обеспечения конфиденциальности, к другим, таким как план восстановления после аварий - требования целостности и доступности (в критической ситуации план необходимо найти и прочитать).
Регламентные работы - очень серьезная угроза безопасности. Сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия он совершает. Здесь на первый план выходит степень доверия к тем, кто выполняет работу.
Политика безопасности, принятая в организации, должна предусматривать набор оперативных мероприятий направленных на обнаружение и нейтрализацию нарушений режима информационной безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.
Реакция на нарушения режима безопасности преследует три главные цели:
-локализация инцидента и уменьшение наносимого вреда;
-выявление нарушителя;
-предупреждение повторных нарушений.
Нередко требование локализации инцидента и уменьшения наносимого вреда вступает в конфликт с желанием выявить нарушителя. В политике безопасности организации приоритеты должны быть расставлены заранее. Поскольку, как показывает практика, выявить злоумышленника очень сложно, на наш взгляд, в первую очередь следует заботиться об уменьшении ущерба.
Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, действиями злоумышленника, халатностью или некомпетентностью. В то же время, у каждой организации есть функции, которые руководство считает критически важными, они должны выполняться несмотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме. [22, c. 16]
Отметим, что меры информационной безопасности можно разделить на три группы, в зависимости от того, направлены ли они на предупреждение, обнаружение или ликвидацию последствий атак. Большинство мер носит предупредительный характер.
Процесс планирования восстановительных работ можно разделить на следующие этапы:
-выявление критически важных функций организации, установление приоритетов;
-идентификация ресурсов, необходимых для выполнения критически важных функций;
-определение перечня возможных аварий;
-разработка стратегии восстановительных работ;
-подготовка к реализации выбранной стратегии;
-проверка стратегии.
Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить работу после аварии.
Идентифицируя ресурсы, необходимые для выполнения критически важных функций, следует помнить, что многие из них имеют некомпьютерный характер. На данном этапе желательно подключать к работе специалистов разного профиля. [21, c. 52]
Таким образом, существует большое количество различных методов обеспечения информационной безопасности. Наиболее эффективным является применение всех данных методов в едином комплексе. Сегодня современный рынок безопасности насыщен средствами обеспечения информационной безопасности. Постоянно изучая существующие предложения рынка безопасности, многие компании видят неадекватность ранее вложенных средств в системы информационной безопасности, например, по причине морального старения оборудования и программного обеспечения. Поэтому они ищут варианты решения этой проблемы. Таких вариантов может быть два: с одной стороны - это полная замена системы корпоративной защиты информации, что потребует больших капиталовложений, а с другой - модернизация существующих систем безопасности. Последний вариант решения этой проблемы является наименее затратным, но несет новые проблемы, например, требует ответа на следующие вопросы: как обеспечить совместимость старых, оставляемых из имеющихся аппаратно-программных средств безопасности, и новых элементов системы защиты информации; как обеспечить централизованное управление разнородными средствами обеспечения безопасности; как оценить, а при необходимости и переоценить информационные риски компании.
2. Информационная безопасность в службе ДОУ.
2.1 Понятие конфиденциального документа
Целью информационной безопасности является безопасность информационных ресурсов в любой момент времени и в любой обстановке. Под безопасностью информационных ресурсов (информации) понимается относительно гарантированная в конкретной ситуации защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования организации и условиях экстремальных ситуаций.
Проблемы обеспечения безопасности информации становятся все более сложными и значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу и электронный документооборот. При всей прогрессивности этого перехода одновременно существенно расширяется и содержательно обновляется комплекс организационных, технических и технологических трудностей в предотвращении вмешательства в информационные ресурсы, которые стали легкой добычей посторонних лиц.
Подобные проблемы особенно характерны для коммерческих, негосударственных структур. В недалеком прошлом главная опасность состояла в утрате конфиденциальных документов, разглашении ценных сведений или их утечке по техническим каналам. Сейчас получило широкое развитие тайное оперирование электронными документами, сведениями в компьютерных базах данных, незаконное использование электронных массивов и последующее извлечение материальной выгоды из таких действий.
В этих условиях особенно важно учитывать, что защита электронной конфиденциальной информации осуществляется не только и не столько программно-аппаратными, криптографическими и техническими методами и средствами. Она невозможна без соблюдения требований ее защиты правовыми и организационными методами, что несущественно для автоматизированной обработки открытой информации. При игнорировании этих требований, требований комплексности защиты, уязвимость информации на магнитных, бумажных и иных носителях резко возрастает, и гарантировать в этих условиях безопасность информационных ресурсов невозможно.
Сформированные в рамках концепции информационной безопасности перспективные и текущие задачи защиты информации являются определяющими при формировании и постоянной актуализации технологического процесса защиты, предупреждающего нарушение доступности, сохранности, целостности, достоверности и конфиденциальности ценных информационных ресурсов предприятия. Решение указанных задач основывается на принципе персональной ответственности руководителей всех уровней и персонала организации за использование информации в соответствии с действующим законодательством и их функциональными обязанностями.
Предполагается, что защита ценной информации осуществляется, прежде всего, от главной опасности - несанкционированного доступа или ознакомления с информацией постороннего лица и в результате этого копирования, разглашения, уничтожения, фальсификации, искажения, незаконного оперирования, модификации, подмены и других угроз. Следует учитывать, что архитектура системы защиты должна охватывать не только электронные информационные системы, но и весь управленческий комплекс организации в единстве его реальных функциональных и структурных частей, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.
Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате.
Наиболее ценными являются сведения о производстве и продукции, рынке, научных разработках, материально-техническом обеспечении организации, условиях контрактных переговоров, сведения о персонале, системе безопасности предприятия. Больше всего конкурентов интересует информация о динамике сбыта продукции и эффективности предоставляемых предприятием услуг. В России сфера интересов конкурента обычно включает, в первую очередь, финансовую деятельность организации и направления обеспечения безопасности работы предприятия.
К разряду ценных и всегда подлежащих защите относятся сведения, составляющие производственную или коммерческую тайну сотрудничающих с организацией партнеров, заказчиков и клиентов.
В соответствии с основополагающими принципами обеспечения безопасности информационных ресурсов предприятия сведения могут быть: открытыми, т.е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т.п.; и ограниченного доступа и использования, т.е. содержащими тот или иной вид тайны и подлежащими защите, охране, наблюдению и контролю.
Под информационными ресурсами, отнесенными к категории ограниченного доступа к ним персонала и иных лиц, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и др.) ценная текстовая, изобразительная или электронная информация, отражающая приоритетные достижения в области государственной, экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам государства или ее собственника.
Законодательство Российской Федерации запрещает относить к информации ограниченного доступа:
-законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
-документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
-документы, содержащие информацию о деятельности органов государственной и исполнительной власти и органов местного самоуправления об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
-документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Ценная общедоступная информация охраняется нормами информационного права (патентного, авторского, смежных прав и др.). Ценная информация ограниченного доступа дополнительно защищается регламентацией сферы и специально установленного порядка ее распространения, использования и обработки.
Конфиденциальные документы включают в себя:
-в государственных структурах - документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения, содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;
-в предпринимательских структурах - документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне организации, тайне мастерства;
-независимо от принадлежности - документы и базы данных, фиксирующие любые персональные данные о гражданах, содержащие профессиональную тайну, обеспечивающую защиту личной или семейной тайны граждан, а также содержащие технические и технологические новшества (до их патентования), тайну предприятий связи сферы обслуживания и других структур.
Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
Особенностью конфиденциального документа является то, что он представляет собой одновременно: