Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"

Автор работы: Пользователь скрыл имя, 20 Апреля 2015 в 10:46, курсовая работа

Описание работы

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;

Содержание работы

Введение
Глава 1. Основы информационной безопасности и защиты информации
1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности
1.2 Ценность информации
1.3 Каналы распространения и утечки конфиденциальной информации
1.4 Угрозы и система защиты конфиденциальной информации
Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
2.1 Нормативно-методическая база конфиденциального делопроизводства
2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных
2.3 Технологические основы обработки конфиденциальных документов
Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
3.3 Совершенствование системы безопасности информации ограниченного доступа
Заключение
Список использованных источников и литературы

Файлы: 1 файл

Документ Microsoft Office Word.docx

— 139.43 Кб (Скачать файл)

3. Средства защиты помещений  от визуальных способов технической  разведки;

4. Средства обеспечения  охраны территории, здания и помещений (средств наблюдения, оповещения, сигнализация);

5. Средства противопожарной  охраны;

6. Средства обнаружения  приборов и устройств технической  разведки (подслушивающих и передающих  устройств, тайно установленной  миниатюрной звукозаписывающей  и телевизионной аппаратуры);

7. Технические средства  контроля, предотвращающие вынос  персоналом из помещения специально  маркированных предметов, документов, дискет, книг .

Программно-математический элемент предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Элемент включает в себя:

1. Регламентацию доступа  к базам данных, файлам, электронным  документам персональными паролями, идентифицирующими командами и  другими методами;

2. Регламентацию специальных  средств и продуктов программной  защиты;

3. Регламентацию криптографических  методов защиты информации в  ЭВМ и сетях, криптографирования (шифрования) текста документов при  передаче их по каналам телеграфной  и факсимильной связи, при пересылке  почтой;

4. Регламентацию доступа  персонала в режимные (охраняемые) помещения с помощью идентифицирующих  кодов, магнитных карт, биологических идентификаторов .

Криптографическое обеспечение включает в регламентацию:

1. Использования различных  криптографических методов в  компьютерах и серверах, корпоративных  и локальных сетях, различных  информационных системах;

2. Определение условий  и методов криптографирования  текста документа при передаче  его по незащищенным каналам  почтовой, телеграфной, телетайпной, факсимильной  и электронной связи; регламентацию  использования средств криптографирования  переговоров по незащищенным  каналам телефонной, спутниковой  и радиосвязи;

3. Регламентацию доступа  к базам данных, файлам, электронным  документам персональными паролями, идентифицирующими командами и  другими методами; регламентацию  доступа персонала в выделенные  помещения с помощью идентифицирующих  кодов, шифров (например, на сегодняшний  день вошло в практику использования, как идентифицирующий кодов системы  паролей, отпечатков пальцев и  сетчатки глаза человека) .

Составные части криптографической защиты, пароли и другие ее атрибуты разрабатываются и меняются специализированными организациями, входящими в структуру Федеральной службы по техническому и экспертному контролю России. Применение пользователями иных систем шифровки не допускается .

Таким образом, наиболее часто встречающимися угрозами (опасностями) конфиденциальных документов являются:

1. Несанкционированный доступ  постороннего лица к документам, делам и базам данных за  счет его любопытства или обманных, провоцирующих действий, а также  случайных или умышленных ошибок  персонала фирмы;

2. Утрата документа или  его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий  и др.), носителя чернового варианта  документа или рабочих записей  за счет кражи, утери, уничтожения;

3. Утрата информацией  конфиденциальности за счет ее  разглашения персоналом или утечки  по техническим каналам, считывания  данных в чужих массивах, использования  остаточной информации на копировальной  ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4. Подмена документов, носителей  и их отдельных частей с  целью фальсификации, а также  сокрытия факта утери, хищения;

5. Случайное или умышленное  уничтожение ценных документов  и баз данных, несанкционированная  модификация и искажение текста, реквизитов, фальсификация документов;

6. Гибель документов в  условиях экстремальных ситуаций .

В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, классифицируются по степени риска следующим образом:

1. Непреднамеренные ошибки  пользователей, референтов, операторов, референтов, управляющих делами, системных  администраторов и других лиц, обслуживающих информационные системы;

2. Кражи и подлоги информации;

3. Стихийные ситуации  внешней среды;

4. Заражение вирусами.

Рис.1. Самые опасные ИТ-угрозы (исследование Infowatch, 2004).

Cистема защиты информационных ресурсов включает в себя следующие элементы:

правовой;организационный;

инженерно-технический;

программно-аппаратный;

 криптографический

В каждой вышеупомянутой части обеспечение системы защиты информации организации могут быть реализованы на практике только отдельно составные элементы, в зависимости от: поставленных задач защиты организации; величины фирмы.

Структура системы, состав и содержание комплекса частей обеспечения системы защиты информации фирмы, их взаимосвязь зависят от ценности защищаемой и охраняемой информации, характера возникающих угроз информационной безопасности предприятия, требуемой защиты и стоимости системы.

Одним из основных признаков защищаемой информации являются ограничения, вводимые собственником информации на ее распространение и использование.

В общем виде цели защиты информации сводятся к режимно-секретному информационному обеспечению деятельности государства, отрасли, предприятия, фирмы. Защита информации разбивается на решение двух основных групп задач:

1. Своевременное и полное  удовлетворение информационных  потребностей, возникающих в процессе  управленческой, инженерно-технической, маркетинговой и иной деятельности, то есть обеспечение специалистов  организаций, предприятий и фирм  секретной или конфиденциальной  информации.

2. Ограждение засекреченной  информации от несанкционированного  доступа к ней соперника, других  субъектов в злонамеренных целях .

Риск угрозы утечки любых информационных ресурсов (открытых и с ограниченным доступом) создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий электроснабжения, связи, другие объективные обстоятельства, а также заинтересованные и не заинтересованные в возникновении угрозы лица. Пример тому - сбой электроснабжения в Москве в 2005 году, последствия которого до сих пор испытывают некоторые организации.

Главная задача защиты информации, по мнению большинства специалистов, - защитить доступ (физический или программный) к месту пребывания электронной конфиденциальной информации таким образом, чтобы максимально удорожить процесс несанкционированного доступа к защищаемым данным .

Глава 2. Организация работы с документами, содержащими конфиденциальные сведения

2.1 Нормативно-методическая  база конфиденциального делопроизводства

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих конфиденциальную информацию регулируются соответствующими законодательными и подзаконными актами.

К числу базовых относится, в первую очередь, Конституция РФ. В ст.23 установлено право неприкосновенность личной жизни, личной и семейной тайны, тайны телефонных переговоров, почтовых, и иных сообщений. При этом ограничение этого права допускается только на основании судебного решения. Конституцией РФ не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

27 июля 2006 года Президент  РФ В.В. Путин подписал два важнейших  для сферы документационного  обеспечения управления (делопроизводства) федеральных закона: № 149 - ФЗ "Об  информации, информационных технологиях и о защите информации" и № 152-ФЗ "О персональных данных" .

10 января 2002 года Президентом  был подписан закон "Об электронной  цифровой подписи" , развивающий и конкретизирующий положения приведенного выше закона "Об информации…".

Основными также являются законы РФ: "О государственной тайне" от 22 июля 2004 г. ; "О коммерческой тайне" от 29 июля 2004 (он содержит в себе информацию, составляющую коммерческую тайну, режим коммерческой тайны, разглашение информации, составляющую коммерческую тайну) ; "Об утверждении Перечня сведений конфиденциального характера" ; "Об утверждении Перечня сведений, отнесенных к государственной тайне" ; "Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну" . Ряд подзаконных правовых нормативных актов, регламентируют организацию защиты государственной тайны, ведение секретного делопроизводства, порядок допуска к государственной тайне должностных лиц и граждан РФ: "Об утверждении положения о лицензировании деятельности по технической защите конфиденциальной информации , "Об утверждении правил оказания услуг телеграфной связи"" и др.

Ряд вопросов, связанных с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом РФ, в нем имеются положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телефонных и иных сообщений.

Нормы регулирования отношений, возникающих при обращении конфиденциальной информации, содержатся также в Гражданском кодексе РФ. При этом конфиденциальная информация относится в Гражданском кодексе РФ к нематериальным благам .

Критерии, по которым сведения относятся к служебной и коммерческой тайне, содержатся в ст.139 Гражданского кодекса РФ. Она гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

1. Эта информация имеет  действительную или потенциальную  ценность в силу неизвестности  ее третьим лицам;

2. К этой информации  нет свободного доступа на  законном основании и обладатель  информации принимает меры к  охране ее конфиденциальности .

Кроме того, определение конфиденциальности коммерческой информации содержится в ст.727 Гражданского кодекса РФ .

Весьма продвинутым в плане информационной безопасности является Уголовный кодекс РФ. Он содержит ряд положений, относящихся к защите информации ограниченного доступа и ответственности за ее неправомерное использование .

Особым видом ответственности за нарушение коммерческой тайны является лишение соответствующей аттестации, лицензии уполномоченным органом (см., например, ст.165 Таможенного кодекса РФ). Но привлечение к данному виду ответственности в целом не получило к настоящему времени широкое распространение.

Правовые нормы, регулирующие использование конфиденциальной информации в судебных разбирательствах - эти нормы, в частности, установлены в Гражданско-процессуальном кодексе РФ.

Основные требования, предъявляемые к порядку обращения с конфиденциальной информацией в государственных и коммерческих структурах, содержатся также в ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" .

Можно сказать, что законодательные акты РФ не регламентируют в полной мере порядок учета, хранения и использования документов, содержащих конфиденциальную информацию.

Вместе с тем, в некоторых законах содержатся отдельные положения, определяющие общие принципы учета, хранения и использования документов, содержащих конфиденциальные сведения.

В целом же, в нашей стране не имеется нормативного правового акта, который устанавливал бы единый порядок учета, хранения и использования документов, содержащих конфиденциальную информацию. Это объясняется тем, что понятие "конфиденциальная информация" включает в себя самые разные категории информации ограниченного доступа. По этой же причине крайне сложной и вряд ли целесообразной представляется разработка какого-либо единого нормативного документа, регламентирующего работу с документами, содержащими все виды конфиденциальной информации.

Как отмечают аналитики, наша законодательная база явно не полна .

Подводя итог можно наметить следующие основные направления деятельности на законодательном уровне:

1. Разработка новых законов  с учетом интересов всех категорий  субъектов информационных отношений;

2. Обеспечение баланса  созидательных и ограничительных (в первую очередь преследующих  цель наказать виновных) законов;

3. Интеграция в мировое  правовое пространство;

4. Учет современного состояния  информационных технологий .

2.2 Организация  доступа и порядок работы персонала  с конфиденциальными сведениями, документами и базами данных

В решении проблемы информационной безопасности значительное место занимает построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей.

Персонал генерирует новые идеи, новшества, открытия и изобретения, которые продвигают научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информацией .

Никакая, даже самая совершенная в организационном плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Обычный секретарь руководителя фирмы имеет возможность нанести фирме такой значительный ущерб, что окажется под вопросом само ее существование. Многие специалисты по защите информации считают, что при правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем на 80%, без применения каких-либо дополнительных методов и средств защиты .

Проведение кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко.

Доступ - это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей .

Регламентация доступа - установление правил, определяющих порядок доступа .

Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа .

Информация о работе Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"