Выявление особенностей организации защиты конфиденциальной информации средствами вычислительной техники

Теоретические, законодательные основы защиты конфиденциальной информации средствами вычислительной техники. Правовое обеспечение информационной безопасности современной организации. Разработка программных средств, обеспечение качества их функционирования.

Рубрика Государство и право
Вид курсовая работа
Язык русский
Дата добавления 14.09.2015
Размер файла 46,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Оглавление

Введение

1. Теоретические и законодательные основы защиты конфиденциальной информации средствами вычислительной техники

1.1 Теоретическая сущность организации защиты конфиденциальной информации средствами вычислительной техники

1.2 Законодательные основы защиты конфиденциальной информации средствами вычислительной техники

1.3 Организация работ по защите конфиденциальной информации средствами вычислительной техники

2. Проблемы компании защиты конфиденциальной информации средствами вычислительной техники и пути их решения

2.1 Оценка опыта организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях

2.2 Проблемы организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях

2.3 Основные направления на совершенствование организации защиты конфиденциальной информации средствами вычислительной техники

Заключение

Библиографический список

Введение

В данной курсовой работе мы подробно рассмотрим проблему защиты информации средствами вычислительной техники, причины возникновения данной темы, законодательные и правовые аспекты и пути решения.

Данная проблема особенно актуальна в наши дни, когда информация является чуть ли на самым ценным товаром в мире. Сама проблема защиты информации от несанкционированного доступа и внешних воздействий на нее возникла тогда, когда индивиду по каким-либо причинам не хотелось, чтобы аналогичной информацией владел другой индивид. С развитием общества, появлением государства, частной собственности, борьбой за власть, развитием промышленного производства и технологий и дальнейшим расширением масштабов человеческой деятельности информация начала приобретать цену. Нужной стала та информация, обладание которой позволяло человеку, который ей владел получить какой-либо бонус: материальный или политический. Поэтому такое широкое распространение в мире получили компании и отдельные индивиды, занимающиеся так называемой «добычей» информации. Шпионские скандалы преследуют человечество уже не один век. В ответ на сложившуюся тенденцию возникла необходимость защищать информацию, как на уровне частного лица, так и на уровне государства.

Теоретической базой для исследования послужили труды наших и зарубежных учёных: В.А. Герасименко, С.Н. Гриняева, В.И. Аникина, Б. Гейтса, У.С. Бека, А. Тоффлера.

Целью исследования является выявление особенностей организации защиты конфиденциальной информации средствами вычислительной техники и путей его совершенствования на современных предприятиях.

Задачами данного исследования являются:

1. Раскрыть теоретическую сущность организации защиты конфиденциальной информации средствами вычислительной техники

2. Произвести оценку опыта организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях

3. Предложить основные направления на совершенствование компании защиты конфиденциальной информации средствами вычислительной техники.

Объектом исследования в данной курсовой работе является организация защиты конфиденциальной информации в современным условиях.

Предметом исследования данной курсовой работы является организация защиты информации средствами вычислительной техники на реально действующем предприятии. В качестве предприятия взято ООО «Ресурс».

Методами исследования являются: анализ, синтез и наблюдение.

Информационной базой при написании данной курсовой работы послужили информационные ресурсы Интернет-порталов, руководящие документы, сведения из книг, законодательные акты и нормативные документы.

1. Теоретические и законодательные основы защиты конфиденциальной информации средствами вычислительной техники

1.1 Теоретическая сущность организации защиты конфиденциальной информации средствами вычислительной техники

Под системой обработки и хранения конфиденциальной информации (документов) с использованием средств вычислительной техники понимается комплекс мероприятий, включающий в себя организационные, технологические и иные процедуры и операции, предназначенные для обеспечения сохранности и целостности информации компании.

Порядок обработки и хранения документов открытого доступа и документов, имеющих ту или иную категорию секретности, основывается на единой научной и методической основе, призванной решать задачи обеспечения необходимой информацией организационные и управленческие процессы деятельности компании. В то же время система обработки и хранения конфиденциальных документов при помощи вычислительной техники решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

В зависимости от масштаба деятельности компании методы и средства обеспечения информационной безопасности могут различаться. Но любой грамотный руководитель компании или IT-специалист скажет, что любая проблема в области информационной безопасности не решается односторонне. К решению данной проблемы всегда требуется комплексный, интегральный подход. В настоящее время в российском бизнесе многие руководители государственных компаний и высшие менеджеры считают, что все проблемы в сфере информационной безопасности можно решить, не прилагая особых организационных, технических и финансовых усилий. Однако практика показывает, что такое мнение является в корне ошибочным.

Иногда со стороны людей, которые позиционируют себя как в качестве IT-специалистов, приходится слышать высказывания: «Проблемы информационной безопасности в нашей компании мы уже решили - установили межсетевой экран и купили лицензию на средства антивирусной защиты». Такой подход демонстрирует, что существование проблемы уже признается на уровне руководителей компаний различных размеров и форм собственности, но сильно недооценивается масштаб и срочность необходимых мероприятий по ее решению. В тех компаниях, где руководители и специалисты всерьез задумались над тем, как обезопасить свой бизнес и избежать финансовых потерь, признано, что одними локальными мерами или «подручными» средствами уже не обойтись, а нужно применять именно комплексный подход.

Под информационной безопасностью понимается такое состояние условий функционирования человека, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз входе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Исходя из приведенного выше определения информационной безопасности, можно выделить следующие ее составляющие:

1. Физическая безопасность представляет собой защиту зданий, помещений, подвижных средств, людей, а также аппаратных средств - компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры;

2. Безопасность сетей и телекоммуникационных устройств (защита каналов связи и воздействий любого рода);

3. Безопасность программного обеспечения (защита от вирусов, логических бомб, несанкционированного изменения конфигураций и программных кодов);

4. Безопасность данных (обеспечение конфиденциальности, целостности и доступности данных).

Задача обеспечения информационной безопасности появилась вместе с проблемой передачи и хранения информации. На современном этапе можно выделить три подхода к ее решению:

1. Частный - основывается на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как он не требует больших финансовых и интеллектуальных затрат;

2. Комплексный - реализуется решением совокупности задач по единой программе. Этот подход в настоящее время применяется наиболее часто;

3. Интегральный - основан на объединении различных вычислительных подсистем работы с информацией, систем связи, подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных. Этот подход, по мнению специалистов, будет использоваться в ближайшем будущем.

Третий подход направлен на достижение интегральной информационной безопасности, что предполагает обязательную непрерывность процесса обеспечения безопасности как во времени, так и в пространстве с обязательным учетом всех возможных угроз (несанкционированный доступ, копирование информации, стихийные бедствия и т.д.). В какой бы форме не применялся данный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи разграничения доступа к информации, ее технического и криптографического «закрытия», технической и физической безопасности объектов, охраны и оснащения их тревожной сигнализацией.

По оценкам специалистов, современный этап информатизации общества переживает эффект технологической зрелости средств защиты информации, ориентированных на детерминированные классы угроз информационной безопасности. С учетом непрерывного роста сложности IT-структур и соответствующих требований к специализациям сотрудников служб безопасности (в условиях современного информационного противоборства) становится ясно, что обеспечение безопасности информационных ресурсов возможно непутем доработки отдельных систем защиты информации, а через создание механизмов их взаимодействия.

Поэтому неудивительно, что за последние годы со стороны корпоративного и промышленного секторов сильно вырос интерес к консолидации систем защиты информации путем внедрения, так называемых систем управления событиями и информацией по безопасности (SIEM-систем, Security Information and Event Management).

Концепция информационной безопасности должна включать в себя ряд законодательных инициатив, научных, технологических и технических решений, готовность государственных организаций и компаний их для того, чтобы люди, используя устройства на базе компьютеров и программного обеспечения, чувствовали себя комфортно и безопасно. В таблице 1 приведена трехуровневая модель защищенности (безопасности) информации.

Таблица 1 - Трехуровневая модель защищенности информации.

Система целей

Средства

Исполнение

1

2

3

Общая цель:

Обеспечение надежной защиты информации

Частные цели:

· Безопасность

· Безотказность

· Деловое взаимодействие

Установки:

· Защищенность

· Конфиденциальность

· Целостность

· Готовность к работе

· Точность

· Управляемость

· Безотказность

· Прозрачность

· Удобство пользования

Подтверждения:

· Внутренняя оценка

· Аккредитация

· Внешний аудит

Обеспечение:

· Законы и нормы

· Характер ведения бизнеса

· Контракты, обязательства

· Внутренние принципы

· Международные, отраслевые и внутренние стандарты

Реализация:

· Методы взаимодействия с внешней и внутренней средой

· Методы работ

· Анализ рисков

· Методы разработки, внедрения, эксплуатации и сопровождения

· обучение

Согласно Оранжевой книге, надежная информационная система описывается как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную достоверную обработку информации, разной степени секретности различными пользователями или группами пользователей без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживая свою работоспособность в условиях воздействия на нее совокупности внешних и внутренних угроз» [6].

Это качественное определение достаточное условие безопасности. При этом не обуславливается, какие механизмы и каким образом реализуют безопасность, ведь практическая безопасность зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени ее разветвленности и точности, топологии сетей, используемого программного обеспечения.

В общем случае можно говорить о надежной защите конфиденциальной информации в двух аспектах:

1. Наличие и полнота политики безопасности,

2. Гарантированность безопасности.

Рассмотрим каждый аспект более подробно.

Под наличием и полнотой политики безопасности понимается набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации. Такие стандарты и правила определяют, в каких случаях и каким образом конкретный пользователь может оперировать конкретными наборами данных. В данном документе или документах должны быть сформулированы права и ответственность пользователей и персонала отделов информационной безопасности, позволяющие выбрать наиболее эффективные механизмы защиты информации.

Политика безопасности -- это активный компонент защиты, включающий в себя анализ возможных угроз и рисков, выбор мер противодействия и методологию их применения.

Под гарантированностью безопасности понимается мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам ее управления. Гарантированность может проистекать как из тестирования и верификации, так и из проверки общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты.

Среди направлений защиты информации выделяют несколько основных, которые наиболее актуальны с точки зрения частоты их возникновения, а именно: защита информации от несанкционированного доступа, защита информации при осуществлении ее обработки по внутренним каналам, защита информации при передаче ее по каналам связи.

Все средства защиты можно разделить: на программные средства, программно-аппаратные и технические.

Для предотвращения несанкционированного доступа и связанных с ним причин применяют обычно следующие средства защиты:

1. Ограничение доступа в помещения, где находятся сервера компании, сетевое оборудование и хранятся носители информации;

2. Использование только сертифицированных знаков, используемых для отличия подлинных документов от подделки;

3. Организация физической защиты помещений, где храниться конфиденциальная информация, с использованием технических средств, существенно затрудняющих проникновение в помещения, где храниться конфиденциальная информация;

4. Разграничение сотрудников по доступы в различные помещения и к различным информационным ресурсам;

5. Строгий учет и хранение в установленных местах традиционных и электронных носителей, содержащих конфиденциальную информацию.

Для предотвращения утечки информации по техническим каналам обычно используют следующие средства защиты:

1. Использование только сертифицированных средств защиты информации;

2. Использование бесперебойных источников питания;

3. Использование серийно выпускаемых технических средств, выполняющих передачу информации по техническим каналам.

Для предотвращения утечки информации по каналам связи можно использовать следующие средства защиты:

1. Использование частных виртуальных сетей;

2. Использование мощных криптографических средств шифрования данных (например, криптографический комплекс «Шифратор IP пакетов», производства объединения МО ПН ИЭИ);

3. Использование только лицензионных программных продуктов.

Техническим аспектам защиты информации в информационных системах и сетях посвящены работы В.А.Герасименко, С.Н. Гриняева, М.П. Зегжды, В.Н. Лопатина, В.А. Никитова, Е.И. Орлова, Г.И. Савина, A.В. Старовойтова, М.П. Сычева, Л.М. Ухлинова, В.Д. Цыганкова, B.Н. Цыгич.

Проблемам защиты национальных интересов в условиях становления единого информационного пространства посвящены работы зарубежных ученых: Х. Ахвельдта, У.Е. Бейкера, У.С. Бека, Д.С. Белла, Д. Веллерсхофа, Д. Грея, Р. Денхардта, М. Калдора, Х. Куроды, К. Лоранта, К.Х. Паке, М. Петтиса, А. Тоффлера.

Проблемы информатизации, компьютеризации в современном обществе раскрыты в исследованиях Р.Ф. Абдеева, Н.П. Ващекина, Б. Гейтса, Б.А. Глинского, Р. Джонстона, А.М. Еременко, М. Иванова, М.Б. Игнатьева, М. Кастельса, Б.И. Козлова, А.В. Лебедева, Н.М. Мамедова, И.В. Мелик-Гайказяна, Д. Мичи. М.А. Мунтяна, Ю.А. Нисневича. А.И. Ракитова, A.Д. Урсула.

Правовые аспекты деятельности в сети Интернет осветили в своих трудах И.Л. Бачило, Е.А. Чичнева.

Изучением информационной безопасности, информационного противоборства и информационных технологий занимались такие авторы, как В.И. Аникин, А.А. Трешневиков, Ю.Б. Кашлев, В.А. Лисичкин, B.Л. Манилов, А.А. Максимов, А.Г. Михайлов, В.Н. Крысько, И.Н. Панарин, Г.Г. Почепцов, С.П. Расторгуев, Л.А. Шелепин, В.И. Ярочкин и другие.

Требования к защите конфиденциальной информации.

К работе с конфиденциальной информацией (документами) предъявляются следующие требования, которые с большой степенью вероятности могут гарантировать решение задач, рассмотренных в предыдущем пункте настоящего курсового проекта:

1. Централизованная автоматическая обработка документов компании, т.е. регламентированное прохождение документами всех стадий, этапов, процедур и операций по обработке и хранению конфиденциальных документов;

2. Автоматизированный учет всех без исключения конфиденциальных документов (всей информации компании);

3. Учет и постоянный контроль над действиями, осуществляемыми с документами, содержащими коммерческую тайну, на традиционных (бумажных) или электронных носителях (в том числе чистых);

5. Обеспечения сохранности не только документов, но и учетных форм;

6. Ознакомления или работы с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений персонала к документу;

7. Обязательной росписи руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиденциальность информации;

8. Выполнения персоналом введенных в фирме правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персонала;

9. Систематических (периодических и разовых) проверок наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневного контроля сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;

10. Коллегиальности процедуры уничтожения документов, дел и баз данных;

11. Наличие письменной санкции руководителя для процедур копирования и тиражирования бумажных и электронных документов, содержащих информацию, представляющую коммерческую тайну, контроль технологии выполнения этих процедур. Такая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и конструкторские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную на любом типе носителя информации.

1.2 Законодательные основы защиты конфиденциальной информации средствами вычислительной техники

Законодательными актами РФ определено, что документированная информация (документы), является общедоступной, за исключением документов, отнесенных законом к категории ограниченного доступа.

Документированная информация с ограниченным доступом делиться на информацию, причисленную к государственной тайне, и конфиденциальную информацию. Эти виды документированной информации подлежат защите от незаконного распространения (разглашения) и относится к охраняемой законом тайне.

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих информацию, составляющую государственную тайну, регулируются соответствующими законодательными актами.

Основным из них является:

1. Конституция Российской Федерации (статья 23), в которой гарантируется неприкосновенность личной жизни, личной и семейной тайны, тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. При этом ограничение этого права допускается только на основании решения судебных органов,

2. Конституция РФ (статья 24), в которой не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия,

3. Гражданский кодекс РФ (ст.150), в которой конфиденциальная информация относится к нематериальным благам. Также гражданский кодекс гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

· Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

· К этой информации нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.

4. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года;

5. Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года;

6. Федеральный закон «О государственной тайне» с изменениями от 21 декабря 2014 года;

7. Федеральный закон № 98-ФЗ «О коммерческой тайне» от 29 июля 2004 года (в редакции от 12.03.2014);

8. Федеральный закон № 1-ФЗ «Об электронно-цифровой подписи» от 10 января 2002 года и также другие подзаконные акты.

В Федеральном законе “Об информации, информатизации и защите информации” конфиденциальная информация определяется как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (ст.2).

Понятие конфиденциальной информации конкретизировано в перечне сведений конфиденциального характера, утвержденном Указом Президента Российской Федерации от 6 марта 1997 г. № 188. Согласно данному перечню сведения конфиденциального характера делятся на несколько категорий:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Информация, составляющая тайну следствия и судопроизводства.

3. Группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами.

4. Информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных разговоров и т.д.)

5. Информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Информация о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

Некоторые вопросы, связанные с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом Российской Федерации.

В данном кодексе есть положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телеграфных и иных сообщений.

Защита конфиденциальной информации от неправомерных посягательств на основе норм гражданского, административного либо уголовного права.

Поскольку ГК РФ, как упоминалось выше, относит конфиденциальную информацию к нематериальным благам (ст.150), защита гражданских прав юридических и физических лиц, связанных с конфиденциальной информацией, регулируются преимущественно соответствующими нормами гражданского законодательства.

Так, ст.11 Части первой ГК РФ предусматривает судебную защиту гражданских прав. Защиту нарушенных или оспоренных гражданских прав, согласно этой статье осуществляет в соответствии с подведомственностью дел, установленной процессуальным законодательством, суд, арбитражный суд или третейский суд.

ГК РФ определены также способы защиты гражданских прав (ст.12), большинство которых могут применяться в связи с защитой конфиденциальной информации.

Основными способами такой защиты являются:

· пресечение действий, нарушающих право на защиту конфиденциальной информации или создающих угрозу его нарушения;

· восстановление положения, существовавшего до нарушения права на защиту конфиденциальной информации;

· прекращение или изменение конкретного правоотношения, связанного с конфиденциальной информацией.

УК РФ также содержит ряд положений, относящихся к защите конфиденциальной информации и ответственности за ее неправомерное использование (ст. 137, 138, 310).

Ст.138 УК РФ предусматривает ответственность за другие правонарушения, связанные с нарушением права на защиту конфиденциальной информации. В ней определена ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Установлено, что нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом или исправительными работами.

Ст.138 УК РФ предусматривает также, что это же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью.

Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений имеет место в случае незаконного ознакомления с перепиской, почтовыми или телеграфными сообщениями, прослушиванием чужих переговоров. Таким же нарушением является ознакомление с информацией, поступившей по телетайпу, телефаксу и другим телекоммуникациям.

Статьей 13.12 Кодекса АП предусмотрена ответственность за нарушение правил защиты информации. Так, нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа.

Мера ответственности за разглашение информации с ограниченным доступом, в том числе конфиденциальной информации, установлена статьей 13.14 Кодекса АП. В соответствии с этой статьей разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.

Законодательные акты Российской Федерации не определяют однозначно порядок учета, использования и хранения документов, содержащих информацию, являющуюся коммерческой информацией.

Некоторые федеральные законы имеют в своем тексте ссылки, определяющие порядок и принципы работы с документами, содержащими конфиденциальную информацию, однако эта информация относиться только к определенным видам информации (например, информации, представляющей государственную тайну или тайну следствия).

Такая ситуация объясняется тем, что информация, представляющая коммерческую тайну, в зависимости от субъекта включает в себя самые разные категории информации, доступ к которым может быть ограничен. Соответственно нельзя назвать целесообразной проведение работы по приведению к единым нормам принципы учета, хранения и обработки конфиденциальной информации.

Обсуждаемые выше акты, могут быть оформлены как нормативные документы для конкретных субъектов или объектов и как правило являются обязательными для исполнения.

Документы, регламентирующие работу с носителями конфиденциальной информации, предназначены сугубо для внутреннего использования и имеют определенные ограничения в доступе, часто с ограничительным грифом «Для служебного пользования».

Каждая организация, независимо от размера и формы собственности, которая имеет цель сохранить в неприкосновенности тот или иной вид информации, формализует деятельность своих структурных подразделений и сотрудников, имеющих отношение к этой информации. Как правило, в компании утверждается регламент по созданию конфиденциальных документов (как на бумажной основе, так и на электронных носителях), их учета, хранения, доступа к ним, использования информации ограниченного доступа, снятия ограничения конфиденциальности и уничтожения носителей информации.

Главным правилом работы с документами, содержащими информацию, являющуюся конфиденциальной, является определение категорий информации, подлежащих защите в данной компании. В целях сохранения данной информации организация разрабатывает перечень сведений, которые могут представлять интерес для третьих лиц, и содержатся в документах, образующихся в процессе функционирования данной компании. В данный перечень должны быть включены не только сведения, которые находятся в исходящих документах организации, но и сведения, получаемые организацией из внешних источников, если необходимо обеспечить их конфиденциальность, примером таких сведений могут быть заказные маркетинговые исследования.

Самыми часто встречающимися способами при оформлении документов ограниченного доступа является присвоение им соответствующего «секретного» грифа, например, - «Для служебного пользования» или «Конфиденциально».

Также для внутреннего и внешнего обращения документов, содержащих информацию с ограниченными правами доступа, в компании и ее подразделениях создается особая система учета таких документов. Такая система обычно подразумевает отслеживание документов на всех стадиях их прохождения, начиная с создания и завершая их уничтожением. Система учета может быть традиционной - в виде комплексов журналов учета, либо автоматизированной (на базе вычислительных средств) с реализацией необходимых элементов защиты информации.

Также, необходимым условием является установления порядка проверок выполнения установленных требований в работе с документами ограниченного распространения, включая проверки сохранности документов.

В большинстве организаций негосударственной формы собственности по аналогии с государственными органами устанавливается порядок допуска работников к различным категориям сведений ограниченного распространения. В зависимости от специфики деятельности той или иной компании решение вопросов допуска возлагается на режимное подразделение, подразделение документационного обеспечения или кадровую службу. Однако в любом случае координирующая роль в решении этих вопросов должна быть у режимного подразделения компании, такого как служба безопасности.

Выбор той или иной системы защиты конфиденциальной информации в негосударственных структурах зависит от руководства этих структур, которые, с учетом ценности защищаемой информации, определяют средства и методы охраны указанных сведений, в том числе правила работы с документами. При этом гарантирующим в максимальной степени сохранность информации является порядок работы с документами, близкий или аналогичный тому, который установлен для документов, содержащих сведения, составляющие государственную тайну.

Для организации и осуществления мероприятий по защите информации в любом учреждении, независимо от формы собственности, требуются определенные условия, важнейшими из которых являются наличие регламентирующей базы, квалифицированного персонала подразделения по защите информации и необходимых материально-технических средств.

Таким образом, можно изложить основные законодательные, правовые основы и правила защиты конфиденциальной информации. Однако в современном мире огромное значение имеют схемы защиты конфиденциальной информации при помощи средств вычислительной техники. И при осуществлении такого вида работы необходимо обладать знаниями с области соответствующих стандартов и спецификаций. Одна из причин состоит в том, что необходимость следования некоторым стандартам определена законодательно, а именно криптографическим и руководящим документам Гостехкомиссии России. Стандарты и спецификации это одна из форм накопленных знаний, прежде всего о процедурном и программно- техническом уровне системы информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки программного обеспечения и систем безопасности. Также и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Различаются две группы стандартов и спецификаций:

1. Оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности,

2. Спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Эти группы дополнят друг друга. Оценочные стандарты описывают важнейшие с точки зрения информационной безопасности понятия, а специализированные стандарты определяют, как именно строить и выполнять организационные требования.

Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» практически не претерпев изменений был преобразован в международный стандарт ISO/IEC 17799-2000 «Практические правила управления информационной безопасностью». В этом стандарте сделано обобщение правил по управлению информационной безопасностью. Также они могут быть использованы как критерии оценки механизмов безопасности организационного уровня, в том числе административные, процедурные и физические меры защиты. Практические правила разбиты на 10 разделов:

1. Политика безопасности.

2.Организация защиты.

3. Классификация ресурсов и контроль.

4. Безопасность персонала.

5. Физическая безопасность.

6. Администрирование компьютерных систем и сетей.

7. Управление доступом.

8. Разработка и сопровождение информационных систем.

9. планирование и бесперебойная работа организации.

10. Контроль выполнения политики безопасности.

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях в различных странах.

На более низком уровне в разных странах разработаны сотни отраслевых стандартов, нормативных документов и спецификаций по обеспечению информационной безопасности, которые применяются национальными компаниями при разработке программных средств и обеспечения качества и безопасности их функционирования.

1.3 Организация работ по защите конфиденциальной информации средствами вычислительной техники

Организация работ по защите конфиденциальной информации средствами вычислительной техники начинается с определения целей, которые необходимо достичь в результате организационного процесса.

Весь процесс можно разделить на 4 этапа:

1. Аудит существующей системы безопасности информации,

2. Проектирование системы безопасности информации,

3. Внедрение и аттестация системы,

4. Техническая поддержка и сопровождение.

Рассмотрим все этапы более подробно.

Целью проведения аудита существующей системы безопасности является выявления сильных и слабых сторон существующей информационной системы. Все работу по аудиту существующей системы защиты информации средствами вычислительной техники можно разделить четыре этапа.

На первом этапе обычно проводятся так называемые тестовые взломы. Если тест оказывается успешным, то устраняются последствия взлома и тестирование начинается сначала. Если не удается взломать существующую систему, то данный результат может означать как защищенность системы. Так и недостаточность тестов.

Вторым этапом является экспресс обследование. На этой стадии оценивается состояние механизмов безопасности на основе стандартизированных механизмов. Экспресс обследование обычно проводится в случае, когда необходимо определить приоритетные направления, позволяющие обеспечить минимальный уровень защиты информационных ресурсов.

Третья группа - аттестация систем на соответствие требованиям защищенности информационных ресурсов. На данном этапе проходит формальная проверка набора требований как организационного, так и технического характера, рассматривается полнота и достаточность реализации механизмов безопасности.

По статистике, первые утечки информации фиксируются в организациях уже вовремя опытного внедрения системы на ограниченном количестве рабочих станций. При этом пока настройки системы неотточены, возможна высокая доля ложных срабатываний. А часто ли случаются утечки при обычной промышленной эксплуатации системы. Специалисты говорят о том, что инциденты достаточно высокой степени серьезности фиксируются раз в несколько недель. Этот показатель варьируется от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.

Правда, масштаб подобных инцидентов сильно различается. Потенциальный ущерб в500тыс. руб. может быть незначительным для компании с оборотом в сотни миллионов долларов, но критичным для бизнеса небольшой организации. Формальный признак серьезного инцидента -- тот, о котором докладывают руководству. При этом степень вовлеченности руководства компаний в дела информационной безопасности сильно различается. Отдельный опрос генеральных директоров показал, что менее 50% из них получают отчеты подразделения по защите информации.

На четвертом этапе проводится предпроектное обследование, на данном этапе проводится соответствие информационной защиты организационной структуре предприятия, проверяется правила доступа сотрудников, проводится анализ рисков, которым подвергаются информационные ресурсы, определяется частота и характер угроз и адекватность предпринимаемых мер и т.д.

В ходе аудита любой из этапов по усмотрению руководителя компании или специалиста, ответственного за разработку системы защиты информации может быть опущен.

Для реализации мер защиты информации, представляющей коммерческую тайну, должны применяться сертифицированные и/или лицензированные в установленном законом порядке технические и технологические средства защиты информации.

На сегодняшний день существует два возможных подхода к проектированию системы защиты информации: продуктовый и проектный.

Продуктовый подход подразумевает под собой выбор готового продукта, наиболее подходящего компании на основе требований, сформированных на этапе аудита с дальнейшей системой адаптации данного продукта к условиям работы данной компании.

Проектный подход подразумевает создание системы под конкретное предприятие. Этот подход позволяет более полно удовлетворить требования компании. Данный подход, несомненно, более дорогой и более эффективно его применение при создании больших гетерогенных распределительных систем.

На этапе внедрения и аттестации проводится комплекс последовательно проводимых мероприятий, а именно: установку и конфигурирование разработанных средств защиты, обучение персонала по работе со средствами защиты, проведение предварительных испытаний и сдачу в опытную эксплуатацию.

По результатам испытаний готовиться отчетная документация, проводится оценка результатов испытаний и выдается соответствующая документация.

Под технической поддержкой и администрированием понимается, сопровождение разработанной системы информационной безопасности с целью поддержания ее в работоспособном состоянии, работы экстренного характера, периодически проводимые профилактические работы.

Техническая поддержка и сопровождение системы информационной безопасности требует наличия у обслуживающего персонала определенных навыков и знаний и может осуществляться как сотрудником компании, так и силами специализированной организации.

2. Проблемы организации защиты конфиденциальной информации средствами вычислительной техники и пути их решения

2.1 Оценка опыта организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях

Рассмотрим опыт защиты конфиденциальной информации на примере ООО «Ресурс».

ООО «Ресурс» было создано 3 марта 2003 года, на основании решения собрания участников.

Основная деятельность ООО «Ресурс» заключается в организации торговли строительно-отделочными материалами для удовлетворения потребностей оптовых покупателей (профессиональных строителей). Ассортимент, включающий все основные товарные направления, необходимые для комплектации строящихся объектов и выполнения строительно-отделочных работ «под ключ» и представленность товаров всех ценовых групп, позволяют любому строителю сделать выбор и приобрести нужный товар.

На сегодняшний день ООО «Ресурс» имеет пять торгово-складских площадок в Башкортостане.

Деятельность ООО «Ресурс» за 2013 год характеризуется следующими показателями:

· Годовой оборот - 725 млн. рублей,

· Чистая прибыль - 87 млн. рублей,

· Общая складская площадь - 9 751 м2,

· Штат компании - 206 человек,

в том числе:

· 54 человека работники головного офиса,

· 182 человека сотрудники удаленных торговых площадок.

Учредителями общества являются 4 физических лица, за счет взносов которых был сформирован уставный капитал компании в размере 1 000000 рублей. Данные лица составляют совет директоров компании.

Защита конфиденциальной информации в ООО «Ресурс» осуществляется на основании приказа Генерального директора № 8 от 20.03. 2005 года «Об утверждении и введении в действие Положения о защите ООО «Ресурс». Положение о защите информации ООО «Ресурс», устанавливает правила взаимоотношений между сотрудниками организации, возникающие в ходе работы с входящей и исходящей информацией, устанавливает перечень сведений, составляющих коммерческую тайну, назначает сотрудников ответственных за тот или иной участок работ по защите информации и т.д.

К коммерческой тайне в ООО «Ресурс» относятся все виды сведений, которые отсутствуют в свободном доступе и представляют ценность для собственников компании. Коммерческая тайна является собственностью компании, однако в соответствии с родом деятельности данная информация может представлять итоги совместной деятельности другими организациями, в данном случае такие сведения являются собственностью двух сторон и в договорах между сторонами закреплено, что данная информация является коммерческой тайной и за ее разглашение установлен солидный штраф.

Согласно положению, под разглашением коммерческой информации понимается какое-либо действие или его отсутствие, которое привело к переходу коммерческой информации к третьему лицу, без согласия обладателя коммерческой информации и в нарушение законов Российской Федерации.

Вся информация, составляющая коммерческую тайну, храниться на электронных носителях информации. В случае если такая информация поступает на бумажном носителе, то данный документ должен быть отсканирован и внесен в специальный реестр с присвоением ему грифа «Конфиденциально» и уровня доступа. В контексте, Положения о защите информации ООО «Ресурс», под уровнем доступа понимается должностной уровень сотрудника. Например, гриф и уровень доступа на документе может быть следующим ««Конфиденциально», только для Совета директоров и Генерального директора»». Отсканированный документ помещается в специальную директорию на диске сервера, согласно уровню доступа. Оригинал документа по аналогии с отсканированным документом храниться в специальной папке. В случае если коммерческой является информация, непосредственно используемая в работе сотрудниками (например, условия контрактов, цены, условия кредитных и иных финансовых договоров), то такая информация заносится непосредственно в информационную систему и доступ к ней разграничивается уровнями доступа.

Регистрацией документов, сканированием документов, сохранением документов в специальных директориях и папках занимается личный помощник Генерального директора.

Уровни доступа к информационным ресурсам в информационной системе определяются директорами соответствующих подразделений, утверждаются генеральным директором и реализуются на практике IT-подразделением. Пароли генерируются случайным подбором цифр и букв и составляют семь символов.

В соответствии с Положением о защите информации ООО «Ресурс», генеральный директор несет персональную ответственность о сохранности информации и самих документов, содержащих гриф «Конфиденциально».

Основными моментами в защите информации ООО «Ресурс» можно назвать:

1. Информация, составляющая коммерческую тайну;

2. Способы и порядок защиты сведений, составляющих коммерческую тайну, содержащихся в информационной системе компании;

3. Способы и порядок защиты электронных, бумажных и иных носителей на которых находится информация, содержащая коммерческую тайну.

4. Порядок проведения закрытых заседаний: Совета директоров, совещаний Генерального директора и других заседаний, предмет которых составляет коммерческую тайну.

5. Ответственность сотрудников компании за разглашение коммерческой информации или сокрытия информации о несанкционированном доступе или иной угрозе.

Рассмотрим некоторые из этих моментов более подробно.

К информации, представляющей коммерческую тайну, согласно положения о защите информации ООО «Росно» относятся:

1. Личные карточки и персональные дела сотрудников компании;

2. Условия договоров с покупателями, предоставленные скидки и бонусные программы и т.д.;

3. Условия договоров с поставщиками;

4. Условия кредитных договоров и иных договоров финансового характера;

5. Инвестиционные и иные проекты компании;

6. Сведения о методах управления компании;

7. Сведения о частной жизни, руководителей, сотрудников, а также граждан, не являющихся работниками компании;

8. Протоколы заседаний советов директоров;

9. Бизнес-планы и планы развития компании;

10. Сведения финансово-экономического характера отличные от официальной бухгалтерской отчетности;

11. Сведения в соответствии с законами Российской Федерации, представляющие коммерческую тайну.

12. Интеллектуальные разработки компании, не прошедшие регистрацию авторских прав;

13. Проведенные маркетинговые исследования, исследования рынка, на котором работает компания, исследования конкурентной среды;

14. Система безопасности и охраны предприятия;

15. Информация, составляющая тайну следствия и судопроизводства.

Предоставление коммерческой информации сотрудникам компании вне согласованного уровня доступа согласовывается Генеральным директором на основании служебной записки, в которой должны быть изложены причины необходимости данного доступа. Служебная записка должна содержать визы непосредственного руководителя, руководителя подразделения обладателя данной информации, начальника службы безопасности.

Запрещено разглашать информацию, содержащую коммерческую тайну, сторонним юридическим и физическим лицам без правовых оснований.

Все сотрудники компании при поступлении на работу дают подписку о неразглашении информации представляющей коммерческую тайну.

Предоставление информации, содержащей коммерческую тайну, сотрудникам государственных фискальных органов, органам суда и следствия, депутатам и т.д. регулируется законодательными актами Российской Федерации.

Защита коммерческой информации, содержащейся в информационной системе, определяется мерами защиты непосредственно информационной системы.

А именно:

· Использование средств защиты от вирусов с использованием антивирусной профилактики;

· Использование средств авторизации и разграничения доступа к информационным ресурсам;

· Отсутствие на компьютерах рядовых сотрудников дисководов и открытых USB-портов;

· Средства защиты от внешних угроз при подключении к общественным сетям (Интернет). Ограничение доступа к Интернет ресурсам. Ежедневный автоматический контроль посещенных сотрудниками сайтов;

· Произведение раз в четыре часа резервного копирований баз данных и файлов, расположенных на серверах.

Электронные, бумажные и другие носители, содержащие коммерческую тайну, хранятся в специальных директориях и папках на компьютере, не подключенном в локальную сеть компании. Доступ разграничен средствами авторизации. Бумажные документы для ознакомления выдаются личным помощником генерального директора, под личную подпись, с одновременной регистрацией в журнале ознакомления с информацией, имеющей гриф «Конфиденциально». Помещение, в котором происходит работа с документами, содержащими коммерческую тайну, оснащено тревожной кнопкой. Одновременно в этом помещении нельзя работать нескольким сотрудникам, имеющим разный уровень доступа. Также в случае если в помещении в данный момент времени работает сотрудник, работающий с банк-клиентом или кассир, работа с документами, имеющими гриф «Конфиденциально» запрещена.

Под закрытыми заседаниями понимаются заседания, на которых обсуждаются вопросы, содержащие коммерческую тайну. В целях сохранения коммерческой тайны при проведении данных заседаний, в соответствии с положением о защите информации, должно соблюдаться несколько правил, а именно:

1. Заседания проводятся в специальной переговорной комнате, в которой отсутствует возможность использования технических средств, для съема информации. Перед совещанием помещение проверяется службой безопасности.

2. На таких заседаниях обязательно ведется протокол, в котором поименованы все присутствовавшие на совещании и обсуждаемые вопросы. Протокол ведет личный помощник генерального директора или сотрудник, принимающий участие в случае отсутствия личного помощника Генерального директора.

3. Мобильные телефоны на период совещания должны быть отключены, в случае необходимости мобильные телефоны должны быть оставлены, вне переговорной комнаты или сданы на хранение в службу безопасности.

Ответственность за разглашение информации несет персонально каждый сотрудник компании, как уже отмечалось выше, при приеме на работу каждый сотрудник подписывает обязательство о неразглашении коммерческой информации.

По факту разглашения информации, содержащей коммерческую тайну, составляется служебная записка, которая визируется у Генерального директора и передается в службу безопасности для проведения расследования. Срок проведения расследования не более двух недель. На основании результатов расследования принимается решение о мерах дисциплинарного взыскания для виновных сотрудников. Под мерами дисциплинарного взыскания понимается - денежный штраф, выговор с занесением в трудовую книжку, увольнение. В случае, в действиях сотрудника просматриваются признаки уголовного преступления в соответствии с действующим законодательством, заявление и документы могут быть переданы в правоохранительные органы. Решение о передаче документов принимает Совет директоров компании.

2.2 Проблемы организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях

Так как Положение о защите информации, было создано в компании достаточно давно, и с тех пор не редактировалось, то многие аспекты данного документа требуют изменений и дополнений. Отсутствие своевременной работы по приведению информационной безопасности к современному уровню привели к наличию существенных пробелов в организации защиты информации в ООО «Ресурс».

В действующем положении о защите информации большое внимание уделено физическим действиям по защите информации, содержащей коммерческую тайну, и достаточно мало внимания уделяется моментам по защите информации с помощью современных возможностей вычислительной техники.


Подобные документы

  • Определение конфиденциальной информации и её основные виды. Федеральный закон "Об информации, информатизации и защите информации". Понятие коммерческой и государственной тайны. Законодательное обеспечение и инструменты контроля за сохранением тайны.

    эссе [14,1 K], добавлен 21.09.2012

  • Понятие конфиденциальности и виды информации. Основные источники правового регулирования конфиденциальной информации. Угрозы информационной безопасности в России, меры по предупреждению. Организация систем защиты информации. Служебная, коммерческая тайна.

    курсовая работа [90,0 K], добавлен 19.01.2015

  • Основные источники правового регулирования конфиденциальной информации. Угрозы и меры по предупреждению ее утечки. Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края.

    курсовая работа [95,3 K], добавлен 09.10.2014

  • Сущность и юридическая природа конфиденциальной информации (коммерческой тайны) предприятия, порядок, методы, средства, законодательная база ее защиты. Субъекты права на коммерческую тайну и их правовое положение, защита прав по законодательству Украины.

    контрольная работа [25,5 K], добавлен 06.10.2009

  • Нормативно-правовое обеспечение информационной безопасности в РФ. Правовой режим информации. Органы, обеспечивающие информационную безопасность РФ. Службы, организующие защиту информации на уровне предприятия. Стандарты информационной безопасности.

    презентация [377,5 K], добавлен 19.01.2014

  • Основные положения Федерального закона "О коммерческой тайне". Организация допуска и доступа персонала к конфиденциальной информации. Организация внутриобъектового режима на предприятии. Требования к помещениям, в которых хранятся носители информации.

    реферат [30,4 K], добавлен 20.05.2012

  • Источники угроз информационной безопасности. Место информационной безопасности в системе национальной безопасности России. Основные проблемы информационной безопасности, пути их решения и организация защиты. Классификация сведений, подлежащих защите.

    курсовая работа [47,9 K], добавлен 23.08.2013

  • Защита от угрозы нарушения конфиденциальности на уровне содержания и от нарушения целостности информации, разновидность угроз. Доступность и целостность информации. Уязвимость, атаки и её последствия. Обеспечение информационной безопасности.

    контрольная работа [206,0 K], добавлен 12.03.2011

  • Законодательные основы обеспечения информационной безопасности. Ответственность за преступления в области информационных технологий. Направления правового обеспечения информационной безопасности. Порядок лицензирования средств защиты информации.

    презентация [158,6 K], добавлен 11.07.2016

  • Нормативно-правовые акты в области информационной деятельности и деятельности по защите информации. Правовое обеспечение защиты гостайны. Закон "О государственной тайне". Задачи систем обеспечения безопасности информации в автоматизированных системах.

    курс лекций [319,4 K], добавлен 14.11.2008

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.