Проблемы информационной безопасности, достоверности и защиты информации в торговой компании на основе современных технологий на примере ООО "Тисм-Югнефтепродукт"
Сущность информации и ее классификация. Анализ сведений, относимых к коммерческой тайне. Исследование возможных угроз и каналов утечки информации. Анализ мер защиты. Анализ обеспечения достоверности и защиты информации в ООО "Тисм-Югнефтепродукт".
| Рубрика | Менеджмент и трудовые отношения |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 23.10.2013 |
| Размер файла | 1,4 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РФ
Федеральное государственное образовательное учреждение высшего профессионального образования
«КУБАНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Кафедра общего, стратегического, информационного менеджмента и бизнес-процессов
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ДОСТОВЕРНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ В ТОРГОВОЙ КОМПАНИИ НА ОСНОВЕ СОВРЕМЕННЫХ ТЕХНОЛОГИЙ НА ПРИМЕРЕ ООО «ТИСМ-ЮГНЕФТЕПРОДУКТ»
Работу выполнила Патенко Елена Александровна
Группа 1 факультет управления и психологии
Специальность
Документоведение и документационное обеспечение управления
Нормоконтролер
Попова Екатерина Дмитриевна
Краснодар 2013г.
РЕФЕРАТ
Основные понятия, использованные в дипломной работе: защита информации, достоверность информации, конфиденциальность информации.
Цель дипломной работы - является анализ существующей системы обеспечения достоверности и защиты информации в информационном обеспечении управления ООО «Тисм-Югнефтепродукт» и определение приоритетных путей совершенствования системы защиты информации.
Объект исследования - система защиты информации в ООО «Тисм- Югнефтепродукт».
Предмет исследования - процесс защиты информации ООО «Тисм- Югнефтепродукт».
Достижение поставленной цели предусматривает постановку и решение следующих задач:
- анализ использования средств и методов защиты информации: сведения конфиденциального характера; информация, информационные технологии и защита информации;
- анализ нормативно-правового обеспечения системы защиты информации в организации;
- анализ и выявление особенностей системы обеспечения достоверности и защиты информации в информационном обеспечении управления ООО «Тисм-Югнефтепродукт»;
- разработка мер по укреплению защиты информации в информационном обеспечении управления ООО «Тисм-Югнефтепродукт».
Теоретико-методологическую основу исследования составляют труды отечественных и зарубежных ученых по проблеме системы защиты информации в управлении документооборотом в организации, федеральные законы «Об информации, информационных технологиях и о защите информации» и «О коммерческой тайне».
Эмпирическую базу исследования составили: материалы профессиональной периодической печати, ресурсов Internet, материалы ООО «Тисм-Югнефтепродукт».
Структура дипломной работы обусловлена целью и задачами исследования и включает в себя: введение, три раздела, заключение, список из 37 использованных источников, а также 3 приложения.
В первом разделе рассматриваются основные правила ведения конфиденциального документооборота в организации, требования, предъявляемые к защите информации и информационных технологий, способы использования электронной цифровой подписи в электронных документах.
Во втором разделе проводится анализ системы защиты информации ООО «Тисм-Югнефтепродукт», правового обеспечения системы защиты информации в учреждении, оценка комплексной системы защиты информации в учреждении.
В третьем разделе рассматриваются проблемы внедрения системы защиты информации управления на основе дополнительной автоматизации и пути их решения.
В результате проведенного анализа были выявлены недостатки в системе защиты информации ООО «Тисм-Югнефтепродукт». На основе исследования были предложены рекомендации по совершенствованию системы защиты информации.
ВВЕДЕНИЕ
Наше время, насыщенное информационными технологиями, предъявляет новые требования к разработке документов и к работе служб, ответственных за их создание, обращение и хранение. Компьютер и современное программное обеспечение позволяет не только быстро разрабатывать и качественно оформить документ, но и предоставляет невиданные ранее возможности по учету, контролю за исполнением документов, их передаче по каналам телекоммуникаций, оперативному хранению и поиску нужной информации. Все эти функции могут быть полностью автоматизированы, что позволяет весьма повысить скорость обращения к документу, сократить время на подготовку принятия решения и, соответственно, обеспечить эффективность управления.
К сожалению, опыт и история не раз показывали, что прогресс не приводит к устранению проблем: он просто заменяет одни проблемы другими. В полной мере это относится и к новым компьютерным технологиям. С их внедрением возникают не только новые перспективы, но и новые "подводные камни", дополнительные источники потенциального риска. Например, появляются неслыханные ранее возможности для несанкционированного доступа к конфиденциальной информации, а также вероятность утраты больших массивов ценной информации из-за отказа оборудования, вирусной атаки и неквалифицированных действий пользователя. Тем не менее, прогресс остановить невозможно. Нам просто предстоит учиться жить в этом новом мире - использовать его возможности и избегать его опасностей.
В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности - информационная безопасность.
Необходимо помнить о том, что информацию очень сложно сохранить, не дать ей уйти за пределы организации. Утечка любой информации может отразиться на деятельности организации. Особую роль играет конфиденциальная информация, потеря корой может повлечь большие изменения в самой организации и материальные потери.
Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию. Создаются службы по контролю за документами конфиденциального характера, их передвижением и хранением в организации.
Безопасность ценной документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.
Актуальность исследования поставленной проблемы обусловлена важностью информационной безопасности в торговых организациях. С появлением новых технологий (компьютеры и оргтехника) защитить информацию становится все труднее. Потеря конфиденциальной информации может повлечь множество проблем (потеря прибыли, положения на рынке, репутации и пр.) или даже привести к краху фирмы, ведь конкуренты не упустят малейшей возможности получить конфиденциальную информацию и использовать ее в своих целях.
Степень разработки проблемы. Анализ литературы по теме исследования свидетельствует о том, что во многих организациях остро стоит проблема обеспечения достоверности и защиты информации в информационном обеспечении управления. Решение данной проблемы предложено в трудах Хорева П.Б., Саака А.Э., Пахомова Е.В , Ищейнова В.Я. и других авторов.
Целью исследования является анализ существующей системы обеспечения достоверности и защиты информации в информационном обеспечении управления ООО «Тисм-Югнефтепродукт» и определение приоритетных путей совершенствования системы защиты информации.
Объектом исследования данной дипломной работы является система защиты информации в ООО «Тисм-Югнефтепродукт».
Предметом исследования - процесс защиты информации ООО «Тисм-Югнефтепродукт».
Достижение поставленной цели предусматривает постановку и решение следующих задач:
анализ использования средств и методов защиты информации: сведения конфиденциального характера; информация, информационные технологии и защита информации;
анализ нормативно-правового обеспечения системы защиты информации в организации;
анализ и выявление особенностей системы обеспечения достоверности и защиты информации в информационном обеспечении управления ООО «Тисм-Югнефтепродукт»;
разработка мер по укреплению защиты информации в информационном обеспечении управления ООО «Тисм-Югнефтепродукт».
Теоретико-методологическую основу исследования составляют труды отечественных и зарубежных ученых по проблеме системы защиты информации в управлении документооборотом в организации, федеральные законы «Об информации, информационных технологиях и о защите информации» и «О коммерческой тайне».
Эмпирическую базу исследования составили: материалы профессиональной периодической печати, ресурсов Internet, материалы ООО «Тисм-Югнефтепродукт».
Структура дипломной работы обусловлена целью и задачами исследования и включает в себя: введение, три раздела, заключение, список из 37 использованных источников, а также 3 приложения.
В первом разделе рассматриваются основные правила ведения конфиденциального документооборота в организации, требования, предъявляемые к защите информации и информационных технологий, способы использования электронной цифровой подписи в электронных документах.
Во втором разделе проводится анализ системы защиты информации ООО «Тисм-Югнефтепродукт», правового обеспечения системы защиты информации в учреждении, оценка комплексной системы защиты информации в учреждении.
В третьем разделе рассматриваются проблемы внедрения системы защиты информации управления на основе дополнительной автоматизации и пути их решения.
Как известно, кто владеет информацией - тот владеет миром. В контексте нашего разговора известный афоризм приобретает особое значение. Поэтому в числе первоочередных задач здесь необходимо выделить получение в полном объеме достоверных данных о потребности предприятий, организаций, учреждений в рабочих кадрах и специалистах с учётом темпов их развития.
Для принятия эффективных управленческих решений в условиях рыночной экономики требуется целесообразная система информационного обеспечения, объективно отражающая сложившуюся экономическую ситуацию и защита имеющейся информации. Выбранная мной тема является актуальной на сегодняшний день.
В современных условиях важной областью стало информационное обеспечение, которое состоит в сборе и переработке информации, необходимой для принятия обоснованных управленческих решений.
Передача информации о положении и деятельности учреждения на высший уровень управления и взаимный обмен информацией между всеми взаимосвязанными подразделениями учреждения осуществляются на базе современной электронно-вычислительной техники и других технических средств связи.
Исходя из поставленной цели дипломной работы в исследуемом учреждении необходимо решить взаимосвязанный комплекс задач, позволяющий построить информационную систему, построенную на основе модели реально существующих и взаимодействующих процессов всех структурных подразделений, а не отдельных групп пользователей.
В исследуемом учреждении только происходит становление и внедрение защиты информации в информационной системе. Необходимо оценить уже достигнутые результаты, определить круг нерешённых задач и предложить пути их решения.
1. ЗАЩИТА ИНФОРМАЦИИ КАК СИСТЕМА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ДОКУМЕНТОВ
1.1 Сущность информации и ее классификация
Под информацией, применительно к задаче ее защиты, понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. В зависимости от формы представления информация может быть разделена:
- Речевая информация. Возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения.
- Телекоммуникационная информация. Циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче.
- Документированная информация (документы). Относят информацию, представленную на материальных носителях вместе с идентифицирующими ее реквизитами.
Под информационной безопасностью понимают состояние защищенности информационной среды, обеспечивающее ее формирование и развитие.
Информацию разделяют на открытую и ограниченного доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация [1].
Понятие «конфиденциальная информация» стало неотъемлемой частью российской юридической лексики. В настоящий момент оно используется в нескольких сотнях нормативных правовых актов Российской Федерации.
Также данный термин все чаще применяется в различных договорах: можно встретить целые разделы или даже отдельные соглашения о конфиденциальности. Широкое распространение получило включение положений о запрете на распространение сведений конфиденциального характера в трудовых договорах.
Но при этом многие руководители и предприниматели на деле не вполне четко представляют себе, что входит в понятие «конфиденциальная информация», как ее следует охранять и как результаты подобной работы могут влиять на экономическое положение фирмы.
Согласно ФЗ «Об информации, информационных технологиях и защите информации» понятие «конфиденциальная информация» - это обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [2].
Сущность «конфиденциальной информации» рассмотрена в научных трудах ряда отечественных авторов. Рассмотрим определения в таблице 1.
Таблица 1 - Определение конфиденциальной информации в работах российских ученых
|
№ п/п |
Определение конфиденциальной информации (КИ) |
Источник |
|
|
1 |
2 |
3 |
|
|
1 |
К конфиденциальной информации относят сведения, содержащие коммерческую тайну, адвокатскую и следственную тайну, некоторые виды служебной тайны, врачебную тайну, тайну переписки, телефонных переговоров, почтовых и телеграфных отправлений, а также некоторые сведения о частной жизни и деятельности граждан.Конфиденциальную информацию составляют сведения, порядок доступа к которым определен их собственником в соответствии с законодательством страны и уровнем доступа к информационному ресурсу. Конфиденциальная информация становится доступной только санкционированным лицам, объектам или процессам. |
А.П. Зайцев и А.А. Шелупанов [3] |
|
|
2 |
Конфиденциальная информация представляет собой разновидность информации с закрытым доступом. Информацией являются используемые данные, представленные в форме, пригодной для передачи и обработки. |
Гаврилов О.А. «Курс правовой информатики» [4] |
|
|
3 |
Конфиденциальность информации - это известность ее содержания только имеющим соответствующие полномочия субъектам. Конфиденциальность является субъективной характеристикой информации, связанной с объективной необходимостью защиты законных интересов одних субъектов от других. |
Хорев П.Б. «Методы и средства защиты информации в компьютерных системах» [1] |
|
|
4 |
Конфиденциальность информации - субъективно определяемая (приписываемая) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты их законных интересов от других субъектов информационных отношений. |
Безбогов А.А. «Методы и средства защиты компьютерной информации» [5] |
|
|
5 |
Конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизованным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной. |
Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. «Защита информации в компьютерных системах и сетях» [6] |
Резюмируя вышеизложенное, конфиденциальной является информация с ограниченными правами доступа, предназначенная для эксплуатирования ограниченным кругом должностных лиц.
А в предпринимательских структурах и направлениях подобной деятельности - документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства.
За разглашение конфиденциальной информации, утрату носителей конфиденциальной информации и нанесение вследствие этих действий ущерба предприятию (работодателю) виновные лица привлекаются к дисциплинарной, материальной, административной или уголовной ответственности.
Информация, за разглашение которой виновные лица привлекаются к ответственности, содержит:
государственную тайну;
коммерческую тайну;
служебную тайну;
персональные данные;
и иные тайны.
Под коммерческой тайной в силу ФЗ «О коммерческой тайне» понимают режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Коммерческую тайну составляет информация любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере. Сведения о способах осуществления профессиональной деятельности, не известны третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны [8].
К иным видам тайн, за разглашение которых предусмотрена ответственность, причем не только трудовым законодательством, относится информация, связанная с профессиональной деятельностью.
1.2 Анализ сведений, относимых к коммерческой тайне
Определение сведений, составляющих коммерческую тайну, представляет собой одно из центральных звеньев в системе мер, осуществляемых предприятием по защите своей интеллектуальной собственности. Неправильное или несвоевременное выделение предмета существенно снижает эффективность этой системы либо вообще сводит ее на нет. Также практика показывает, что при охране коммерческой тайны возможные потери от утечки информации часто имеют конкретную стоимостную оценку. Поэтому и затраты на защиту такой информации должны быть экономически ограничены суммой возможных потерь.
При излишнем засекречивании коммерческой информации рост расходов на эти цели неадекватен снижению вероятности утечки наиболее ценных сведений. Целесообразно охранять как коммерческую тайну только ту часть конфиденциальной информации, которая обеспечивает возможность расширить рынок сбыта продукции, существенно улучшить ее качество, заключать особо выгодные сделки с партнерами [9].
Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тайну фирмы, - основополагающие части системы защиты информации.
Для определения сведений, относимых к коммерческой тайне руководителю организации необходимо:
I. Создать группу экспертов, которые должны изучить законодательство Российской Федерации о коммерческой тайне.
Такими нормативными документами являются:
ФЗ «О коммерческой тайне» от 29.07.2004 г., №98-ФЗ;
Гражданский кодекс РФ, ст. 139, 771,772;
Конституция РФ, 1993 г. (ст. 34);
Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 г., №188;
ФЗ «О некоммерческих организациях» от 12.01.1996 г., №7-ФЗ;
Постановление Правительства РФ «О передаче сведений, которые не могут составлять коммерческую тайну» РФ от 05.12.1991 г., №35 (с изменениями и дополнениями от 03.10.2002 г.).
II. Группа экспертов должна выделить из массива информации, те сведения, которые следует отнести к коммерческой тайне.
Эксперты должны руководствоваться в выборе информации следующими критериями:
1. Информация должна быть коммерчески выгодной для организации или выгодной для конкурента.
Определяется самим обладателем коммерческой информации, которая имеет действительную или потенциальную ценность в силу ее неизвестности третьим лицам. В качестве критерия важности в конкретной информации принимаются количественные показатели величины наносимого ущерба. То есть наиболее важной, с точки зрения безопасности предприятия, является информация, утечка которой, например, угрожает структурной целостности предприятия или способствует перекрытию поступления материальных ресурсов.
2. Сведения не должны напрямую касаться деятельности предприятия, способной нанести ущерб обществу, жизни и здоровью людей (нарушение законов, загряз окружающей среды и т.д.), а также и использоваться в целях недобросовестно конкуренции, уклонения от налогообложения, осуществления запрещенной или незакрепленной в уставе организации деятельности.
3. Информация не должна быть общеизвестной или общедоступной на законных основаниях.
Соблюдение мер по охране конфиденциальной информации, составляющей коммерческую тайну.
4. Сведения не должны являться государственными секретами или защищаться согласно нормам авторского или патентного права.
5. Информация должна быть зафиксирована в письменной или иной материальной форме или находиться в исключительном ведении организации.
6. Информация должна быть специально обозначена («грифована») и должны быть обеспечены меры по сохранению конфиденциальности.
7. Защита информации должна быть обоснованна.
Устанавливается путем экспертной оценки целесообразности придания конфиденциальности конкретной информации исходя из вероятных последствий (экономических, финансовых, кризисных и др.) этого акта и баланса экономической выгоды и безопасности организации (включая информационную безопасность).
8. Информация должна быть своевременна.
Заключается в установлении ограничения доступа и распространения коммерческой информации с момента ее получения, разработки или до разработки. Технология определения сведений, относимых к коммерческой тайне, представлена в виде структуры на рисунке 1 [10].
Рисунок 1 - Структура технологии определения сведений, относимых к коммерческой тайне
Перечень информации, составляющей коммерческую тайну, утверждается распорядительным документом руководителя организации.
В большинстве компаний правила защиты конфиденциальной информации документированы в специальных положениях, о чем свидетельствуют данные опросы за 2012 год, опубликованные на сайте «HeadHunter» [11]. Данные представлены в виде диаграммы на рисунке 2.
Рисунок 2 - Положение о защите конфиденциальных данных
Данные исследования основаны на результатах опроса, проведенного службой исследований «HeadHunter» с помощью собственных инструментов сегментации и анализа. Целевую аудиторию опроса составили руководители подразделений по информационным технологиям компаний всех отраслей. Всего в исследовании были обработаны ответы 192 респондентов. Приведенные данные взяты только со слов опрошенных специалистов и могут содержать погрешность, связанную с субъективным восприятием вопросов респондентами.
В любой современной компании, которая соответствует достаточно высокому уровню зрелости, существуют внутренние нормативные документы, по которым каждый сотрудник должен выполнять ряд требований по информационной безопасности. Такие документы могут регламентировать отдельные участки работы с конфиденциальными данными, но при этом не иметь отношения к технической защите информации. Например, положение о неразглашении коммерческой тайны чаще всего подписывается сотрудниками вместе с трудовым договором и остается в ведении HR-отдела или службы безопасности.
Состав ценной информации фиксируется в специальном перечне, определяющем срок и уровень (гриф) ее конфиденциальности (то есть недоступности для всех), список сотрудников фирмы, которым предоставлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм данного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы.
Дополнительно может составляться перечень документов, в которых эти сведения отражаются (документируются). В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране.
Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информации и надежность ее защиты находятся в прямой зависимости [12].
При отнесении сведений к коммерческой тайне следует предусматривать факторы риска, которые могут быть обусловлены обстоятельств:
отсутствие полной или исключительной информации при ее выборе,
противоборствующими действиями партнеров и конкурентов,
элементами случайности событий.
Поэтому очень важным обстоятельством при составлении Перечня сведений, составляющих коммерческую тайну, будет являться учет возникновения и последующего влияния источников рисковых ситуаций, которые представлены на рисунке 3.
Рисунок 3 - Источники рисков
Чтобы секретные сведения не повлияли на взаимоотношения с деловыми партнерами, не привели к потере выгодных сделок, снижению цен и объемов продаж, необходимо заранее позаботиться об охране конфиденциальной информации, работодатель должен:
определить перечень информации, составляющей коммерческую тайну;
установить правила доступа к тайной информации (исключить доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя);
вести учет лиц, получивших доступ к сведениям, составляющим коммерческую тайну;
определить порядок использования тайных сведений работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
наносить на документы, содержащие информацию, составляющую коммерческую тайну, гриф «Коммерческая тайна» (или «КТ») с указанием обладателя этой информации [8].
Только после принятия данных мер режим коммерческой тайны будет считаться установленным [12].
1.3 Исследование возможных угроз и каналов утечки информации
Угрозой безопасности информации, составляющей коммерческую тайну, является совокупность условий и интересов, обеспечивающих потенциальную или реальную опасность утечки информации и нанесения ущерба.
Угрозы информации можно объединить в следующие группы:
1) угрозы раскрытия информации
- угроза утечки информации - неконтролируемое распространение защищаемой информации путем ее разглашения, несанкционированного доступа к ней и получения конкурентами;
- угроза разглашения информации - доведение защищаемой информации до неконтролируемого количества получателей информации (например, публикация информации на открытом сайте в сети Интернет или в открытой печати);
- угроза несанкционированного доступа к информации - получение защищаемой информации заинтересованным субъектом с нарушением правил доступа к ней
2) угроза нарушения целостности - умышленное несанкционированное или неумышленное изменение (удаление) данных;
3) угроза отказа в обслуживании - блокировка доступа к ресурсу [1, 13].
Все множество потенциальных угроз безопасности информации можно разделить по природе их возникновения на две группы (рисунок 4). По отношению к объекту информатизации угрозы бывают внешними и внутренними [5, 12].
Рисунок 4 - Потенциальные угрозы безопасности информации.
Возможные каналы утечки информации, составляющей коммерческую тайну, представлены в таблице 2 [9].
Таблица 2 - Каналы утечки информации, составляющей коммерческую тайну
|
Каналы утечки информации |
||
|
Технические каналы утечки информации |
Через используемую связь, внешнюю и внутреннюю |
|
|
- Гибкие и жесткие магнитные диски, - магнитные ленты, - средства ввода и вывода информации, - средства отображения, - обработки и передачи информации, средства коммуникации и электроснабжения. |
- Беспроводную электросвязь (сети подвижной мобильной связи), - внутреннюю связь, - междугороднюю и международную телефонную связь, - почтовую и курьерскую связи, - документальную связь (внутриведомственные нормативы), - радиосвязь, - спутниковую связь, - птоволоконную связь. |
Любой бизнес содержит в себе источник риска. Причем факторы риска (таблица 3) могут носить как вероятностный характер, так и случайный, то есть появляться совершенно неожиданно. Случайные или ситуационные факторы могут обнаружить себя в результате возникновения некоторой нестандартной ситуации. Наиболее распространенный случай - это утечка информации, представляющей собой особую корпоративную тайну, и, как следствие, использование ее с целью дискредитации компании со стороны лиц, которым данная информация попадет в руки.
Стремительное развитие технологий и рост зависимости бизнеса от IT заставляют компании более внимательно и вдумчиво подходить к вопросам информационной безопасности, ведь чем сложнее информационная система, тем больше существует возможных рисков.
Необходимо также отметить, что уровень сложности информационных атак также постоянно растёт. Сегодня компьютерные вирусы представляют существенно более сложные программные средства, способные распространятся практически в любой среде передачи информации, а также маскироваться под работу штатного ПО.
Кроме этого, современные модификации компьютерных вирусов в основном используются для кражи конфиденциальной информации, а также для получения несанкционированного доступа к компьютерам пользователей.
Таблица 3 - Факторы риска [14, 15].
|
№ п/п |
Фактор риска |
Входящие в фактор риска компоненты |
||
|
1 |
2 |
3 |
4 |
|
|
1 |
Организационная база предприятия. Уязвимости возникают в тех случаях, когда в структуре предприятия прослеживаются явные недоработки в области организации следующих функций: |
Документо-оборот |
Отсутствует должный уровень контроля над верификацией и проверкой соответствующих документов; риски - ошибки в документах, подделка или фальсификация. |
|
|
Кадровое обеспечение |
Нет отработанного механизма проверки новых сотрудников на предмет склонности к деструктивным действиям: риски - коррупция, низкая производительность труда, возможность диверсии. |
|||
|
Административный контроль |
Широкая группа функций, которая может быть представлена, например, в виде работы службы безопасности, в формах принятия тех или иных управленческих решений; следовательно, риски могут быть самыми разнообразными. |
|||
|
2 |
Материально-техническая база предприятия. Возникновение рисков в данной проекции связано с недостаточной надежностью тех или иных материальных и технических ресурсов, которые могут быть использованы на предприятии: |
Информационно-технологический ресурс |
Отсутствие необходимых программных и аппаратных компонентов защиты от заражения вирусами и вредоносными программами; риски - утечка данных, потеря контроля доступа к банковским счетам, внесение несанкционированных изменений в документооборот и т. д. |
|
|
Технические условия труда |
Неприемлемый уровень климатической обстановки внутри зданий, ненадежность систем коммунального и энергетического снабжения; риски - падение производительности труда, выход из строя оборудования. |
|||
|
3 |
Компьютерные каналы утечки информации.Компьютеризованные рабочие места являются основной причиной утечки информации. |
Несанкционированная запись данных на внешний носитель (CD, DVD, флеш-накопитель). |
||
|
Вывод конфиденциальной документации на печать с последующим выносом за пределы территории компании |
||||
|
Отправка корпоративной информации на внешние серверы (почтовые, FTP, файловые хранилища). В соответствии с результатами последних исследований ассоциации ICSA электронная почта является основным каналом проникновения вирусов. |
||||
|
Передача секретных сведений сторонним лицам при помощи мессенджеров (ICQ, Skype, Mail Agent и др.) |
Популярный ресурс по анализу утечек данных «Data Loss Statistics» предоставил статистику по причинам утечек за 2011 год, которая представлена на рисунке 5 [16].
Рисунок 5 - Статистика по типам утечек (в процентах от общего числа утечек).
Фрод - умышленные действия или бездействие физических и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей материальный и/или нематериальный ущерб.
В настоящее время не существует систем противодействия фроду, которые могут с полной уверенностью защитить организацию. В этом случае руководство организации должно инициировать создание системы противодействия фроду, определив собственную роль в процессе защиты от мошенничества.
Часто компании выделяют четыре основные группы фрода:
искажение финансовой отчетности;
неправомерное использование/присвоение имущества компании;
злоупотребление должностным положением;
фрод в сетях связи.
В целях предотвращения и выявления случаев фрода (в пределах, предусмотренных законодательством) организация может проводить следующие мероприятия, но не ограничиваться ими:
- профилактические мероприятия по предотвращению фрода;
- обучение сотрудников (anti-fraud awareness program);
- мероприятия по проверке контрагентов и кандидатов перед приемом на работу;
- управление физическим и логическим доступом;
- выявление и контроль над конфликтами интересов;
- процедуры согласования и авторизации действий;
- прием анонимных сообщений о фроде и подозрениях на фрод;
- внутренний аудит;
- регистрация выявленных случаев фрода.
Необходимо особо отметить, что все выявленные случаи фрода должны быть расследованы, а результаты расследований - задокументированы и содержать перечень мер безопасности, которые были обойдены фродстером, а также недостатки технологических и бизнес-процессов [17].
Конкурентная разведка в сфере бизнеса имеет широкий спектр действия, а именно:
возможности открытых источников;
несанкционированный доступ к конфиденциальной информации;
разведка на основе Интернета;
привлечение сотрудников из «групп риска» кадрового состава фирмы;
путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах [18, 19].
По оценкам экспертов, потеря лишь четверти конфиденциальной информации, обеспечивает существенные преимущества конкурентам. Поэтому по мере развития рыночных отношений с присущими им конкуренцией и экономическим шпионажем отношение к защите конфиденциальной информации кардинально изменится.
Необходимо также отметить, что уровень сложности информационных атак также постоянно растёт. Сегодня компьютерные вирусы представляют существенно более сложные программные средства, способные распространятся практически в любой среде передачи информации, а также маскироваться под работу штатного ПО. Кроме этого, современные модификации компьютерных вирусов в основном используются для кражи конфиденциальной информации, а также для получения несанкционированного доступа к компьютерам пользователей. Аналогичная тенденция характерна и для других видов угроз безопасности, для реализации которых постоянно придумываются более изощрённые методы и средства проведения атак.
Последствия, к которым могут привести информационные атаки, могут по-разному рассматриваться исходя из той или иной ситуации. Так, например, одно и тоже последствие атаки может сводиться к искажению системного файла на сервере для системного администратора, в то время как для руководителя компании - приостановкой одного из важнейших бизнес-процессов предприятия. Основным критерием здесь является свойство информации, к нарушению которого может привести успешная атака на ресурсы автоматизированной системы. Иными словами любая информационная атака может, в конечном счете, привести к нарушению конфиденциальности, целостности или доступности информационных ресурсов [20].
Очень частой ошибкой организаций является установка усиленных систем защиты на корпоративной информационной системе без анализа рисков, то есть ставят там, где утечки маловероятны, а там где "потоп" - ничего нет [21]. Система защиты информации становится неоправданно затратной и бездейственной. Вопреки распространенным мифам о хакерах, наибольшую опасность представляют авторизованные пользователи (сотрудники, клиенты, партнеры и т.д.). До 75-80 % всех компьютерных инцидентов связано именно с теми, кому принято доверять. “Свои” пользователи по незнанию, ошибке или злому умыслу могут занести в информационную систему вирус, удалить тот или иной файл, или выполнить иные несанкционированные действия - что они регулярно и проделывают.
1.4 Анализ мер защиты
Меры по защите коммерческой тайны, принимаемые ее обладателем, должны включать в себя:
1. Определение перечня информации, составляющей коммерческую тайну. Структура технологии определения сведений, относимых к коммерческой тайне, уже была представлена на рисунке 1.
2. Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка. В соответствии с законом доступ к информации определен как порядок ознакомления определенных лице информацией, с согласия обладателя информации, составляющей коммерческую тайну, при условии сохранения ее конфиденциальности.
3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана. Предоставление данной информации определяется законом как передача информации, зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.
Передача информации, составляющей коммерческую тайну, определена как передача обладателем информации, зафиксированной на материальном носителе, контрагенту - стороне гражданско-правового договора на основании данного договора.
4. Определение порядка регулирования отношений использования информации, составляющей коммерческую тайну.
Данная мера предполагает регулирование отношений между:
- работодателем и работниками на основании трудовых договоров;
- контрагентами на основании гражданско-правовых договоров;
- органами государственной власти на основании данного Федерального закона.
В любом случае вне зависимости от вида договоров в них необходимо указать объем и условия передачи информации, составляющей коммерческую тайну, включая условия принятия работником (контрагентом) мер по охране ее конфиденциальности. Данное положение также касается индивидуальных предпринимателей - обладателей информации, составляющей коммерческую тайну, не имеющих работников, с которыми заключены трудовые договоры, но имеющих гражданско-правовые договора с физическими лицами.
5. Нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, а для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). В данном случае гриф-реквизит документа - не означает степень конфиденциальности информации («конфиденциальность» тождественно термину «секретность»), как в Законе «О государственной тайне» - «особой важности, «Совершенно секретно» и «Секретно», а означает, что право собственности на информацию, составляющую коммерческую тайну, охраняется законодательством.
Обладатель коммерческой информации для внутреннего использования (локального пользования) может устанавливать дополнительные меры в соответствии с Федеральным законом. К таким мерам можно отнести установление степени конфиденциальности коммерческой тайны и проставлять дополнительно на документах название любых грифов, например: «Конфиденциально», «Особо конфиденциально» и т. д., за исключением наименования грифов степени секретности, определяемых Законом «О государственной тайне». В целом систему защиты информации, составляющей коммерческую тайну на объектах информатизации, можно представить в виде функциональной модели, которая является частью комплексной системы в организации защиты информации [14].
По данным опросов, опубликованным на сайтах «Zecurion» и «HeadHunter» за 2012 год, были выявлены наиболее применяемые средства защиты конфиденциальной информации. Эти данные в процентном соотношении в зависимости от количества находящихся в штате сотрудников представлены в таблице 4 [11, 23].
Таблица 4 - Средства защиты конфиденциальной информации в организациях (% от числа компаний с данным штатом сотрудников)
|
№ |
Средства защиты конфиденциальной информации |
Численность штата сотрудников |
||
|
До 50 чел. |
Более 500 чел. |
|||
|
1 |
Служебные инструкции |
52% |
84% |
|
|
2 |
Спецподразделения |
38% |
67% |
|
|
3 |
DLP-системы |
17% |
39% |
DLP-системы - расшифровывается как Data Loss Prevention и используется для обозначения продуктов и систем для защиты от утечек информации.
DLP-системы направлены на минимизацию рисков внутренних угроз информационной безопасности, или, иными словами, на защиту корпоративной информации от инсайдеров. Инсайдерами являются абсолютно все сотрудники компаний, ведь утечки могут происходить не только по злому умыслу, но и по невнимательности сотрудников или незнанию правил информационной безопасности. Более того, согласно статистике, 78% зарегистрированных инцидентов приходится именно на случайные утечки. Впрочем, настоящая DLP-система предусматривает все возможные сценарии и защищает как от случайных утечек, так и от намеренной кражи информации сотрудниками.
Существует множество подходов к классификации DLP-систем, однако более-менее устоявшиеся представления рынка указывают на несколько характеристик, позволяющих относить ИТ-решения к классу DLP:
Тотальный контроль каналов утечки. Потенциальные каналы утечки информации составляют две большие группы: сетевые каналы (к ним относится электронная почта, интернет-пейджеры, интерактивные веб-сайты, блоги, форумы и т. п.) и локальные (принтеры, а также любые периферийные устройства, на которые можно скопировать конфиденциальную информацию).
Анализ информации. DLP-системы перехватывают весь трафик, выходящий за пределы корпоративной сети предприятий, и анализируют его на предмет наличия в нем конфиденциальной информации. Существует более десятка типов данных, обнаружить которые можно только с помощью различных специализированных технологий детектирования.
Блокирование утечек. На основании данных анализа DLP-система принимает решение согласно установленным политикам безопасности о разрешении или запрете передачи сообщения, записи или печати файла.
- Архивирование информации. Весь перехватываемый трафик DLP-система помещает в собственный архив, который создает полноценную базу для расследования инцидентов информационной безопасности.
Сегодня рынок DLP в России контролируют в основном российские разработчики. При этом на нем присутствуют не только дорогие и сложные системы, но и достаточно компактные решения, которые можно внедрить не то что за считанные дни, а за несколько часов. Поскольку изначально наиболее заинтересованным в DLP-системах потребителем был финансово-кредитный сектор экономики, то и их развитие шло в основном в соответствии с потребностями банков, страховых компаний и других работающих в этом секторе организаций. Но по мере повышения процента "укомплектованных" DLP-системами финансовых организаций разработчики стали присматриваться к предприятиям других отраслей, одновременно реализуя в своих решения функциональность, востребованную у них.
Сегодня на рынке можно увидеть решения для среднего и малого бизнеса. Количество средств обеспечения информационной безопасности, не требующих обычного для "классических" DLP-систем многомесячного внедрения, продолжает увеличиваться [24]. Также по данным опросов на сайтах «Zecurion» и «HeadHunter» за 2012 год были выявлены представленные ниже данные [11, 23].
Информация, защищаемая в организации в первую очередь:
персональные данные (68%);
список клиентов и поставщиков (57%);
схемы бизнес-процессов (41%);
прогнозы и планы развития бизнеса (38%);
производственные документы (36%).
Каналы утечки информации, которые подвергаются контролю:
корпоративная электронная почта (70%);
данные в местах хранения (56%);
интернет-ресурсы (55%);
внешние устройства (48%);
ICQ и подобные сервисы (45%);
принтеры (33%).
1.5 Методы защиты электронных документов
Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать аналог собственноручной подписи человека в электронном виде. Эта задача была успешно решена. В основе решения лежит процесс внедрения электронной цифровой подписи (ЭЦП) в организации.
При этом ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, и обеспечила электронному документу следующие важнейшие характеристики:
подлинность -- подтверждение авторства документа;
целостность -- документ не может быть изменен после подписания;
неотрицание авторства (неотрекаемость) -- автор впоследствии не сможет отказаться от своей подписи [25.].
В настоящее время в РФ действует Федеральный Закон от 10.01.2002 N 1-ФЗ «Об электронной цифровой подписи».
Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
В законе используются следующие основные понятия:
Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи [26].
Главное назначение ЭЦП -- подтверждать подлинность электронных документов, подобно бумажным документам, имеющим соответствующую подпись и печать.
Используя ЭЦП в процессе электронного согласования документов, можно обеспечить неизменность документа после проставления согласительной подписи каждого участника.
Используя систему электронного документооборота с применением ЭЦП, предприятие получает:
Возможность сократить бумажный документооборот за счет перевода части внутренних документов в электронный вид.
Ускорить прохождение документов за счет перевода движения документа в электронный формат.
Возможность не только быстро находить исходящие и внутренние документы и просматривать их содержимое, но и определять их правомерность по ЭЦП.
Новые возможности межкорпоративного обмена юридически значимыми электронными документами [27].
Наиболее широкое применение сегодня ЭЦП находит в документационном обеспечении управления (ДОУ), в платежных системах, электронной торговле и бухгалтерии. Из перечисленных направлений наиболее востребованной и сложной является задача автоматизации ДОУ организаций -- главная цель создания систем электронного документооборота (СЭД).
ЭЦП стала одним из методов защиты электронных документов.
Исполнительная процедура электронной цифровой подписи представлена на рисунке 6.
Рисунок 6 - Схема использования ЭЦП
Чтобы послать важные данные, используя ЭЦП, пользователь должен выполнить действия, состоящие из двух этапов:
подготовительный этап
этап исполнения передачи.
На подготовительном этапе пользователь создает несколько своих личных ключей ЭЦП: секретный ключ А и открытый ключ В. Открытый ключ В вычисляется из соответствующего ему секретного ключа; обратное же вычисление невозможно (аналогично тому, как это происходит с алгоритмами асимметричного шифрования). После этого пользователь передает открытый ключ В получателю данных.
На этапе исполнения процедуры пользователь перед отправкой сообщения подписывает его с помощью своего секретного ключа А. Заметим, что получатель смог проверить подпись пользователя в сообщении с помощью А- открытого ключа.
С теоретической точки зрения электронная подпись представляет собой последовательность фиксированной длины (длина эта зависит от конкретного алгоритма ЭЦП), которая вычисляется определенным образом с помощью содержимого подписываемой информации и секретного ключа.
Секретный ключ ЭЦП также есть не что иное, как последовательность определенной длины. Это тот самый уникальный элемент, без знания которого невозможно подделать ЭЦП его владельца. Соответственно пользователь должен хранить свой секретный ключ таким образом, чтобы никто другой не смог "выведать" его значение. Если же у владельца ключа есть основания полагать, что ключ известен кому-либо еще, то такой секретный ключ ЭЦП считается скомпрометированным, и "потерпевший", допустивший компрометацию своего ключа, должен оповестить всех остальных корреспондентов, что его открытый ключ следует считать недействительным. После оповещения легко создать новую пару ключей ЭЦП, гарантирующую авторство писем.
Если же этого не сделать, подпись "потерпевшего", утерявшего свой ключ, может появиться под любым электронным документом. И тогда, по аналогии с обычной подделкой документов, можно сказать, что злоумышленник, завладевший чужим ключом, научился удачно подделывать подпись его владельца, да вдобавок еще и получил возможность ставить его печать.
Подобные документы
Анализ системы информационной безопасности на предприятии. Служба по вопросам защиты информации. Угрозы информационной безопасности, характерные для предприятия. Методы и средства защиты информации. Модель информационной системы с позиции безопасности.
курсовая работа [1,4 M], добавлен 03.02.2011Характеристика способов защиты информации на предприятии. Изучение информации внутреннего, внешнего и специального характера, необходимой для создания и использования системы защиты на микроуровне. Информационное взаимодействие со службами безопасности.
реферат [23,6 K], добавлен 10.06.2010Понятие "конфиденциальная информация". Порядок отнесения коммерческих сведений к коммерческой тайне. Общая характеристика ОАО "Связной Урал". Совершенствование механизма защиты конфиденциальной информации в предприятии. Анализ эффективности рекомендаций.
курсовая работа [166,6 K], добавлен 26.09.2012Иерархическая схема сотрудников. Средства информационной защиты. Вопросы о состоянии безопасности. Схема информационных потоков предприятия. Способы контроля за целостностью информационной системы. Моделирование управления доступом к служебной информации.
курсовая работа [1,0 M], добавлен 30.12.2011Характеристика, организационная структура и функции компании. Анализ эффективности управления на предприятии. Программное обеспечение, используемое в информационной системе отдела организации обучения. Виды информационных угроз и методы защиты информации.
отчет по практике [112,7 K], добавлен 19.02.2013Задачи и основные направления обеспечения защиты корпоративной информации. Получение корпоративной информации. Уязвимые места: промышленный шпионаж, поджог, нападение на сотрудников компании. Служба безопасности: задачи и правила работы ее сотрудников.
контрольная работа [56,5 K], добавлен 19.01.2008Угрозы информационной безопасности на предприятии. Выявление недостатков в системе защиты информации. Цели и задачи формирования системы информационной безопасности. Предлагаемые мероприятия по улучшению системы информационной безопасности организации.
курсовая работа [235,0 K], добавлен 03.02.2011Понятие, методы и средства защиты конфиденциальной информации. Анализ нормативно-правовой базы конфиденциального делопроизводства. Угрозы, каналы распространения и утечки конфиденциальности. Порядок работы персонала с конфиденциальными документами.
дипломная работа [167,4 K], добавлен 25.11.2010Характеристика информационных связей в системе менеджмента качества. Разработка структуры информационной системы для обеспечения непрерывного улучшения. Методика защиты информации от злоумышленных действий пользователей и обслуживающего персонала.
курсовая работа [875,3 K], добавлен 18.02.2014Характер и уровень конфиденциальности обрабатываемой информации. Испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации. Расчёт информационных рисков. Оценка угроз информационной безопасности.
дипломная работа [407,4 K], добавлен 21.02.2016
