Автор работы: Пользователь скрыл имя, 18 Августа 2015 в 14:29, дипломная работа
Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Рассмотреть методы и средства защиты конфиденциальной информации;
5. Проанализировать нормативно-правовую базу конфиденциального делопроизводства;
ВВЕДЕНИЕ
Глава 1. Основы информационной безопасности и защиты конфиденциальной информации
1.1 Понятие конфиденциальности и виды конфиденциальной информации
1.2 Система защиты от угроз и утечек конфиденциальной информации
1.3 Организация работы с документами, содержащими конфиденциальные сведения
Глава 2 . Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
2.1 Характеристика ОАО "ЧЗПСН - Профнастил"
2.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
2.3 Совершенствование системы безопасности информации ограниченного доступа
Заключение
Список использованных источников и литературы
2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;
3. Утрата информацией
конфиденциальности за счет ее
разглашения персоналом или
4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;
5. Случайное или умышленное
уничтожение ценных документов
и баз данных, несанкционированная
модификация и искажение
6. Гибель документов в
условиях экстремальных
Для электронных документов угрозы особенно реальны, т.к. факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:
1. Непреднамеренные ошибки
пользователей, референтов, операторов,
референтов, управляющих делами, системных
администраторов и других лиц,
обслуживающих информационные
2. Кражи и подлоги информации;
3. Стихийные ситуации внешней среды;
4. Заражение вирусами.
В соответствии с характером указанных выше угроз формируются задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.
Следует внимательнее относиться к вопросам отнесения информации к различным грифам секретности и, соответственно, к обеспечению уровня ее защиты.
Защита информации представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и секретности (конфиденциальности) информационных ресурсов предприятия. Данный технологический процесс в конечном счете должен обеспечить надежную информационную безопасность организации в его управленческой и финансово-производственной деятельности.
Комплексная система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее утечке и разглашению31.
Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений предприятия и государства по поводу правомерности использования системы защиты информации (системы лицензирования в области защиты информации и сертификации средств защиты информации); на обязанности персонала: соблюдать установленные собственником информации ограничительные и технологические меры режимного характера защиты информационных ресурсов организации.
Правовое обеспечение системы защиты информации включает:
1. Наличие в организационных документах, правилах внутреннего трудового распорядка, трудовых договорах, контрактах, заключаемых с персоналом, в должностных инструкциях (регламентах) положений и обязательств по защите информации;
2. Формулирование и доведение
до сведения всего персонала
банка (в том числе не связанного
с защищаемой и охраняемой
информацией) положения о правовой
ответственности за
3. Разъяснение лицам, принимаемым
на работу, положения о добровольности
принимаемых ими на себя
Организационный элемент, как одна из основных частей системы защиты информации содержит меры управленческого, режимного (ограничительного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты информации фирмы. Эти меры связаны с установлением режима секретности (конфиденциальности) информации в организации.
Организационно-
1. Формирования и организации
деятельности службы
2. Составления и регулярного
обновления состава перечня
3. Разрешительной системы
(иерархической схемы) разграничения
доступа персонала к
4. Методов отбора персонала
для работы с защищаемой
5. Направлений и методов
воспитательной работы с
6. Технологии защиты, обработки
и хранения бумажных и
7. Внемашинной технологии защиты электронных документов - защиты носителей информации;
8. Порядка защиты ценной
информации предприятия от
9. Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями контрольных органов, средств СМИ, рекламных агентств и т.д.;
10. Оборудования и
аттестации зданий и помещений,
рабочих зон, выделенных для работы
с документированной
Инженерно-технический элемент предназначен для пассивного и активного противодействия средствами технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика.
Элемент включает в себя:
1. Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещение (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы);
2. Средства защиты
технических каналов утечки
3. Средства защиты
помещений от визуальных
4. Средства обеспечения охраны территории, здания и помещений (средств наблюдения, оповещения, сигнализация);
5. Средства противопожарной охраны;
6. Средства обнаружения
приборов и устройств
7. Технические средства
контроля, предотвращающие вынос
персоналом из помещения
Программно-математический элемент предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Элемент включает в себя:
1. Регламентацию доступа
к базам данных, файлам, электронным
документам персональными
2. Регламентацию специальных
средств и продуктов
3. Регламентацию
4. Регламентацию доступа
персонала в режимные (охраняемые)
помещения с помощью
Криптографическое обеспечение включает в регламентацию:
1. Использования различных криптографических методов в компьютерах и серверах, корпоративных и локальных сетях, различных информационных системах;
2. Определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи; регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной, спутниковой и радиосвязи;
3. Регламентацию доступа
к базам данных, файлам, электронным
документам персональными
Составные части криптографической защиты, пароли и другие ее атрибуты разрабатываются и меняются специализированными организациями, входящими в структуру Федеральной службы по техническому и экспертному контролю России. Применение пользователями иных систем шифровки не допускается35.
Таким образом, наиболее часто встречающимися угрозами (опасностями) конфиденциальных документов являются:
1. Несанкционированный доступ
постороннего лица к
2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;
3. Утрата информацией
конфиденциальности за счет ее
разглашения персоналом или
4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;
5. Случайное или умышленное
уничтожение ценных документов
и баз данных, несанкционированная
модификация и искажение
6. Гибель документов в
условиях экстремальных
В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, классифицируются по степени риска следующим образом:
1. Непреднамеренные ошибки
пользователей, референтов, операторов,
референтов, управляющих делами, системных
администраторов и других лиц,
обслуживающих информационные
2. Кражи и подлоги информации;
3. Стихийные ситуации внешней среды;
4. Заражение вирусами.
В каждой вышеупомянутой части обеспечение системы защиты информации организации могут быть реализованы на практике только отдельно составные элементы, в зависимости от: поставленных задач защиты организации; величины фирмы.
Структура системы, состав и содержание комплекса частей обеспечения системы защиты информации фирмы, их взаимосвязь зависят от ценности защищаемой и охраняемой информации, характера возникающих угроз информационной безопасности предприятия, требуемой защиты и стоимости системы.
Одним из основных признаков защищаемой информации являются ограничения, вводимые собственником информации на ее распространение и использование.
В общем виде цели защиты информации сводятся к режимно-секретному информационному обеспечению деятельности государства, отрасли, предприятия, фирмы. Защита информации разбивается на решение двух основных групп задач:
1. Своевременное и полное
удовлетворение информационных
потребностей, возникающих в процессе
управленческой, инженерно-технической,
маркетинговой и иной
2. Ограждение засекреченной
информации от
Риск угрозы утечки любых информационных ресурсов (открытых и с ограниченным доступом) создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий электроснабжения, связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица. Пример тому - сбой электроснабжения в Москве в 2005 году, последствия которого до сих пор испытывают некоторые организации 38.