Технологии защиты документной информации на предприятии

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ФГБОУ ВПО «ПОВОЛЖСКИЙ ГОСУДАРСТВЕННЫЙ

ТЕХНОЛОГИЧЕСКИЙ УНИВЕРСИТЕТ»

 

 

Кафедра управления и права

 

 

 

Контрольная работа по дисциплине:

основы делопроизводства

Тема: «ТЕХНОЛОГИИ ЗАЩИТЫ ДОКУМЕНТНОЙ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ»

 

 

 

 

 

Оглавление

 

 

ВВЕДЕНИЕ

В эпоху информационных технологий необходимость защиты конфиденциальной информации становится на первый план, особенно это касается государственных и силовых структур, различных предприятий и организаций. В условиях жесткой конкуренции очень важно сохранять сведения, содержащие коммерческую тайну предприятия. Так как коммерческой или служебной тайной могут воспользоваться, преследуя корыстные цели, её следует охранять, не допуская ни малейшей утечки информации, со всей строгостью наказывая правонарушителей. Законодательство РФ регламентирует отношения в области обеспечения информационной безопасности.

Существуют различные виды обеспечения конфиденциальности информации. Требуются определённые условия для обеспечения конфиденциальности: определение сведений, составляющих коммерческую тайну предприятия и обеспечение порядка их защиты. Если эти правила не соблюдены, руководитель не вправе привлекать к ответственности своих сотрудников.

Менеджеры, чью прямую обязанность составляет работа с документами (понятие «документ» включает в себя информацию, адресованную/полученную любыми физическим и юридическим лицами для использования своей деятельности), должны осознавать возложенную на них ответственность и не разглашать сведений, которые составляют или только потенциально могут составлять коммерческую и служебную тайны. Сотруднику следует защищать информацию не только своей организации, но и «чужие» тайны, т.е. тайны, которую доверили организации клиенты, посредники, представители и партнёры, причём даже после увольнения эта обязанность сохраняется.

 

 

1. Общие методы обеспечения информационной безопасности

Общие методы обеспечения информационной безопасности подразделяются на правовые, организационно – технические и экономические [3].

К правовым методам обеспечения информационной безопасности относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности. Наиболее важными направлениями этой деятельности является:

• внесение изменений и дополнений в законодательство РФ, регламентирующее отношения в области обеспечения информационной безопасности в целях создания и совершенствования системы обеспечения информационной безопасности, устранение внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединяется РФ, и противоречий между федеральными законодательными актами и законодательными актами всех субъектов РФ, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности;
• законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти субъектов РФ, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов РФ, устанавливающих юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития иностранной инфраструктуры России;
• законодательное закрепление приоритета развития национальных сетей связи и отечественное производство космической, спутниковой связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно – телекоммуникационных сетей на территории РФ, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в РФ региональных структур обеспечения информационной безопасности [2].

Организационно – техническими методами обеспечения являются:

• создание и совершенствование системы обеспечения информационной безопасности РФ;
• усиление правоприменительной деятельности федеральных органов исполнительной власти субъектов РФ, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
• разработка, использование и совершенствование средств защиты процессов переработки информации и методов контроля эффективности этих средств, развитие защищенности телекоммуникационных систем, повышение надежности специального программного обеспечения;
• создание систем и средств, предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушения, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем информатизации и связи;
• выявление технических устройств и программ предоставляющих опасность для нормального функционирования информационно – телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты процессов переработки информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите;
• сертификация средств защиты процессов переработки информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты;
• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованию информационной безопасности;
• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;
• формирование системы мониторинга показателей и характеристик информационной безопасности РФ и наиболее важных сферах жизни и деятельности общества и государства [4].

Экономические методы, обеспечивающие ИБ РФ включают в себя:

• разработку программ, обеспечивающих ИБ РФ и определяющих порядок их функционирования;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты процессов переработки информации, создание системы страхования информационных рисков физических и юридических лиц [3].

Следовательно, именно на этих этапах должны быть сосредоточены основные усилия при создании защищённых систем.

 

2. Способы и средства защиты информации

Необходимость обеспечения скрытности (секретности) отдельных замыслов, действий, сообщений возникла в глубокой древности, практически вместе с началом осмысленной человеческой деятельности. Иначе говоря, организация защиты части информации от несанкционированного доступа к ней – проблема столь же древняя, как и само понятие «информация».

На современном этапе существуют следующие предпосылки сложившейся кризисной ситуации обеспечения безопасности информационных систем (ИС):

• современные компьютеры за последние годы приобрели большую вычислительную мощность, но одновременно с этим стали проще в эксплуатации;
• прогресс в области аппаратных средств сочетается с ещё большим развитием программного обеспечения;
• развитие гибких и мобильных технологий обработки информаций привело к тому. Что практически исчезает грань между обрабатываемыми данными и исполняемыми программами за счёт появления и широкого распространения виртуальных машин и интерпретаторов;
• несоответствие бурного развития средств обработки информации и медленной проработки теории информационной безопасности привело к появлению существенного разрыва между теоретическими моделями безопасности, оперирующими абстрактными понятиями типа «объект», «субъект» и реальными категориями современных ИТ;
• необходимость создания глобального информационного пространства и обеспечение безопасности протекающих в нём процессов потребовали разработки международных программ и стандартов, следование которым может обеспечить необходимый уровень гарантии обеспечения защиты.

Вследствие совокупного действия всех перечисленных факторов перед разработчиками современных ИС, предназначенных для обработки конфиденциальной информации, стоят следующие задачи, требующие немедленного и эффективного решения:

• обеспечение безопасности новых типов информационных ресурсов;
• организация доверенного взаимодействия сторон (взаимной идентификации (аутентификации) в информационном пространстве;
• защита от автоматических средств нападения;
• интеграция в качестве обязательного элемента защиты информации в процессе автоматизации её обработки.

В настоящее время с ростом объёмов обработки информации в компьютерных сетях, расширением круга её потребителей, распространением многопрограммных режимов работы ЭВМ, внедрением перспективных ИТ данная проблема приобрела новый аспект в связи с возрастанием роли программно-технического посредника между человеком-пользователем и информационными объектами, что, в свою очередь, вызвало создание дополнительных способов закрытия информации [1].

Понятно, что проблема защиты информации приобретает особое значение в экономической области, характеризующейся повышенными требованиями одновременно к скрытности и оперативности обработки информации.

Учитывая наибольшую сложность обеспечения защиты информации, обрабатываемой и передаваемой в компьютерных сетях различных типов, в дальнейшем рассматривается, прежде всего, эта часть проблемы (если иное не оговаривается специально).

Анализ уязвимости машинной информации позволяет выделить две группы возможных причин её искажения или уничтожения:

• непреднамеренные действия (сбои технических средств, ошибки обслуживающего персонала, аварии и т.п.);
• несанкционированные действия, к которым относятся: НСД и ознакомление субъектов с информацией;
• прямое хищение информации электронном виде непосредственно на носителях или копирование информации на другие носители;
• запрещённая передача информации в линии связи или на терминалы; перехват электромагнитных излучений и информации по различным каналам связи и т.п [3].

Такое большое количество причин искажения и уничтожения информации определяет необходимость использования и значительного числа способов и средств её защиты, причём эти способы и средства эффективны только тогда, когда применяются комплексно. Названные обстоятельства обуславливают содержание понятия «защита электронной информации».

Под защитой информации в компьютерных системах понимают создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде [5].

Наряду с определением понятия «защита информации» важным вопросом является классификация имеющихся способов и средств защиты, которые позволяют воспрепятствовать несанкционированному использованию. На рисунке 1 приведены наиболее часто используемые способы защиты информации, которыми они могут быть реализованы (эти возможности изображены стрелками от способа к средствам).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рисунок 1. Способы и средства защиты информации

 

Рассмотрим каждый из способов. Препятствия предусматривают создание преград, физически не допускающих к информации. Управление доступом – способ защиты информации за счёт регулирования использования всех ресурсов системы (технических, программных и др.).

Маскировка информации, как правило, осуществляется путём её криптографического закрытия. Регламентация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки информации. Принуждение заставляет соблюдать определённые правила работы с информацией под угрозой материальной, административно уголовной ответственности. Наконец, побуждение основано на использование действенности морально-этических категорий (например, авторитета или коллективной ответственности).

Средства защиты информации, хранимой и обрабатываемой в электронном виде, разделяют на три самостоятельные группы: технические, программные и социально-правовые. В свою очередь, среди технических средств выделяют физические и аппаратные [2].

К физическим средствам защиты относятся:

• механические преграды, турникеты, специальное остекление;
• сейфы, шкафы;
• механические и электромеханические замки, в том числе и с дистанционным управлением;
• замки с кодовым набором;
• датчики различного типа;
• теле - и фотосистемы наблюдения и регистрации;
• СВЧ, ультразвуковые, радиолокационные, лазерные, акустические системы и др.;
• устройства маркировки;
• устройства с идентификационными картами;
• устройства идентификации по физическим признакам;
• устройства пространственного заземления;
• системы физического контроля доступа;
• системы охранного телевидения и охранной сигнализации;
• системы пожаротушения и оповещения о пожаре и др.