Защита информации ограниченного доступа в ООО «Анкад»

 

СОДЕРЖАНИЕ

Введение………………………………………………………………………..5

1 Основы информационной безопасности и защиты информации…………………………………………………………………7

1.1 Эволюция термина «информационная безопасность» и понятие конфиденциальности……………………………………………………………..7

1.2  Каналы  распространения и утечки конфиденциальной информации………………………………………………………………………10

1.3  Угрозы  и система защиты конфиденциальной  информации………………………………………………………………………14

2. Защита информации ограниченного доступа в ООО «Анкад»…………….18

2.1 Характеристика  предприятия ООО «Анкад»……………………………...18

2.2 Источники информации ограниченного доступа, обеспечение ее конфиденциальности……………………………………………………………20

2.3 Программно-аппаратная  защита конфиденциальной информации………23

2.4 Система контроля  управления доступом………………………………….23

2.5 Расчет затрат на эксплуатацию и содержание системы защиты…………26

2.6 Расчет оценки эффективности комплексной системы ЗИ………………..30

Заключение………………………………………………………………….33

СПИСОК  ЛИТЕРАТУРЫ……………………………………………………….34

 

 

 

 

 

 

Введение

 

В условиях развивающейся рыночной экономики и самостоятельности субъектов рынка, всё большее значение приобретает защита конфиденциальной информации, позволяющей компании поддерживать конкурентоспособность своих товаров на рынке, организовывать защиту материальных ценностей, снижать риск корпоративного захвата и т. д.

В современных  условиях жесткой конкурентной борьбы защита различного рода информации необходима для успешного развития предпринимательства  и становления подлинно рыночной экономики, основанной на свободной  конкуренции. Обеспечение защищённости отечественной научно-технической продукции способствует поддержанию национальной, в том числе экономической и технологической безопасности России. Надёжная охрана результатов интеллектуальной деятельности - наиболее эффективное средство борьбы против промышленного шпионажа, она способствует защите прав авторов и владельцев научно-технических результатов.

Многие вопросы  предпринимательской деятельности регулируются и обеспечиваются гражданским, административным, трудовым, авторским, уголовным и другим законодательством. Но не все проблемы, связанные с обеспечением безопасности предпринимательства, регулируются законом.

Целью данной курсовой работы является анализ современных  технологий, способов, методов и  средств защиты конфиденциальной информации предприятия и их экономическое обоснование.

Базой исследования является ООО «Анкад».

Объектом исследования в настоящей работе является формирование и функционирование информационных ресурсов в системе управления организацией.

Предметом исследования - деятельность по обеспечению безопасности информационных ресурсов в системе управления организацией.

Для выполнения поставленных целей предполагается решение следующих задач:

1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;
3. Выявить наиболее распространенные угрозы, каналы распространения и утечки конфиденциальности;
4. Дать оценку системе защиты информации предприятия ООО «Анкад» и привести рекомендации по ее совершенствованию.

 

 

 

 

 

 

 

1 Основы информационной безопасности и защиты информации

1.1 Эволюция  термина «информационная безопасность» и понятие конфиденциальности

Издавна считалось, кто владеет информацией - тот  владеет ситуацией. Поэтому еще на заре человеческого общества возникает разведывательная деятельность. Поэтому появляются государственные и коммерческие (состав фарфора, шелка) секреты, а в период войн - военные (расположение войск, орудия). Стремление сохранить в тайне от других то, что дает преимущество и власть, видимо является главной мотивацией людей в исторической перспективе. Многие собственники в целях защиты своих интересов засекречивают информацию и тщательно ее охраняют или патентуют. Засекречивание информации приводит к постоянному совершенствованию средств и методов добывания охраняемой информации; и к совершенствованию средств и методов защиты информации.

В мировой практике сначала применялись термины «промышленная тайна», «торговая тайна», «тайна кредитных отношений», т.е. название тайны увязывалось с конкретной сферой деятельности. Российский юрист В. Розенберг сделал попытку объединить эти названия в одном – «промысловая тайна» и даже выпустил в 1910 г. одноименную книгу. Однако этот термин не прижился. И в Российской империи и за рубежом окончательно утвердился термин «коммерческая тайна», объединяющий тайну любой деятельности, имеющей целью извлечение прибыли.

В современной  трактовке коммерческая тайна - информация, данные, сведения, объекты, разглашение, передача или утечка которых третьими лицами могут нанести ущерб интересам или безопасности обладателя.

Безопасность - это не только защита от преступных посягательств, но и обеспечение  сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

Под информационной безопасностью следует понимать защиту субъектов информационных отношений. Основные ее составляющие - конфиденциальность, целостность, доступность.

В Доктрине информационной безопасности РФ термин «информационная безопасность» обозначает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Конфиденциальность - защита от несанкционированного доступа. Следующее определение конфиденциальности дает ФЗ «Об информации, информационных технологиях и о защите информации» ст.2.п.7: конфиденциальность - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Под безопасностью  информационных ресурсов понимается защищенность информации во времени и пространстве от любых объективных и субъективных угроз, возникающих в обычных условиях функционирования фирмы в условиях экстремальных ситуаций: стихийных бедствии, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных.

Конфиденциальность - правила и условия сохранности  передачи данных и информации. Различают  конфиденциальность внешнюю - как условие  неразглашения информации во внешнюю  среду, и внутреннюю - среди персонала.

Безопасность  ценной документируемой информации (документов) определяется степенью ее защищенности от последствий экстремальных  ситуаций, в том числе стихийных  бедствий, а также пассивных и  активных попыток злоумышленника создать  потенциальную или реальную угрозу (опасность) несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.

Секретность - правила  и условие доступа и допуска  к объектам информации.

Таким образом, словосочетание «информационная безопасность» не сводится исключительно к защите от несанкционированного доступа к информации.

Это принципиально широкое понятие. Субъект информационных отношении может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе.

Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне.

Конфиденциальность  отражает ограничение, которое накладывает  собственник информации па доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом

 

1.2 Каналы  распространения и утечки конфиденциальной  информации

 

Информация  источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: деловые, управленческие, торговые, научные, коммуникативные регламентированные связи; информационные сети; естественные технические каналы.

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме или в силу объективных закономерностей или в силу объективных закономерностей.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия.

Утрата и  утечка конфиденциальной документированной  информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус. Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности логической структуры и содержания, доступности для правомочных пользователей.

На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов утечки информации: речевой канал, физический канал и технический канал.

Речевой канал  утечки - информация передается от владеющего конфиденциальной информацией посредством  слов лично объекту, заинтересованному  в получении данной информации .

Физический  канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации.

Технический канал утечки - информация передается посредством технических средств.

Каждое конкретное предприятие обладает своим набором  каналов несанкционированного доступа  к информации, в этом случае идеальных  фирм не существует.

Данное, зависит  от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации, профессионального уровня персонала, местоположения зданий и помещений и т.д.

Широкие возможности  несанкционированного получения информации с ограниченным доступом создают  техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.

Утечка информации с ограниченным доступом может наступить:

1. При наличии интереса организаций лиц, конкурентов к конкретной информации;
2. При возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;
3. При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Данные условия  могут включать:

1. Отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз и каналов утечки информации, степени риска нарушений информационной безопасности организации;
2. Неэффективную, слабо организованную систему защиты информации фирмы или отсутствие этой системы;
3. Непрофессионально организованную технологию закрытого (конфиденциального) финансового документооборота, включая электронный, и делопроизводства по документированной информации с ограниченным доступом;
4. Неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
5. Отсутствие системы обучения сотрудников правилам работы с документированной информацией с ограниченным доступом;
6. Отсутствие контроля со стороны руководства предприятия за соблюдением персоналом требований нормативных документов по работе с документированной информацией с ограниченным доступом;
7. Бесконтрольное посещение помещений организации посторонними лицами.