Теоретические основы обеспечения информационной безопасности

Теоретические основы обеспечения информационной безопасности

Информация – сведения о событиях, процессах, явлениях, являющихся предметом передачи, хранения, распространения, преобразования.

Информационная безопасность – это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств.[1]

Режим информационной безопасности – это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:

• доступность и целостность информации;

• конфиденциальность информации;

• невозможность отказа от совершенных действий;

• аутентичность электронных документов.

Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, несущих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

Направление обеспечения информационной безопасности.

Направления обеспечения информационной безопасности — это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз.[2]

Правовая защита

Право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий и населения.

Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур.[3]

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:

· информации и информационных систем;

· субъектов — участников информационных процессов;

· правоотношений производителей — потребителей информационной продукции;

· владельцев (обладателей, источников) информации — обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.

Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.

Коммерческая тайна — не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам.[4]

«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору».[5]

Статья 727 ГК РФ, используя положение статьи 139 ГК РФ, гласит: «Если сторона, благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны.

Порядок и условия пользования такой информацией определяются соглашением сторон.»

Одним из направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации. Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события.[6]

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретной организации, разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

1. Положение о сохранении конфиденциальной информации;

2. Перечень сведений, составляющих конфиденциальную информацию;

3. Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

4. Положение о делопроизводстве и документообороте;

5. Перечень сведений, разрешенных к опубликованию в открытой печати;

6. Положение о работе с иностранными фирмами и их представителями;

7. Обязательство сотрудника о сохранении конфиденциальной информации;

8. Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.[7]

Организационная защита

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.[8]

Организационная защита обеспечивает:

1. организацию охраны, режима, работу с кадрами, с документами;

2. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения опасности конфиденциальной информации.[9]

К основным организационным мероприятиям можно отнести:

1. организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

2. организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

3. организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

4. организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

5. организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

6. организацию работы по проведению систематического контроля над работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Специфической областью организационных мер является организация защиты ПК, информационных систем и сетей. Организация защиты ПК, информационных систем и сетей определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, так как несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями, небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.[10]

Организационные средства защиты ПК и информационных сетей применяются:

· при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;

· при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;

· при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);

· при соблюдении надежного пропускного режима к техническим средствам, к ПК и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);

· при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);

· при подготовке и контроле работы пользователей.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.[11]

Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.

Физические средства защиты

Физические средства защиты — это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.[14] К физическим средствам относятся механические, электромеханические электронные, электронно-оптические, радио- и радиотехнические и другие устройства для защиты от несанкционированного доступа (входа выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий. Эти средства применяются для решения следующих задач:

1. охрана территории предприятия и наблюдение за ней;

2. охрана зданий, внутренних помещений и контроль за ними;

3. охрана оборудования, продукции, финансов и информации;

4. осуществление контролируемого доступа в здания и помещения.

 

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранные сигнализации и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов — это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз.[15]

Аппаратные средства защиты

К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки информации и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:

· проведение специальных исследований технических средств

обеспечения производственной деятельности на наличие возможных каналов утечки информации;

· выявление каналов утечки информации на разных объектах и в

помещениях;

· локализация каналов утечки информации;

· поиск и обнаружение средств промышленного шпионажа;

· противодействие несанкционированному доступу к источникам

конфиденциальной информации и другим действиям.

Аппаратные средства защиты информации — это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.[16]

Модель организации

Анализ угроз

Опасность утечки информации в предприятии ООО «Партнерские технологии» могут оказывать как внешние, так и внутренние источники угроз.

К внутренним источникам угроз можно отнести:

- неумелые действия персонала;

- несоблюдение требований безопасности при обращении с информацией, представляющей ценность;

- разглашение конфиденциальной информации (умышленное или неумышленное)

- несоблюдение пропускного режима на территорию предприятия.

К внешним источникам угроз можно отнести:

- действия конкурирующих фирм;

- компьютерные вирусы и вредоносные программы;

- стихийные бедствия (предприятие находится в сейсмоактивной зоне).[24]

Наибольшую опасность в ООО «Партнерские технологии» представляет оптический канал утечки информации. Связано это с тем, что практически вся информация может быть представлена в визуальном виде, неважно, что это: бумажные документы или электронный документ, отображённый на экране монитора. Следовательно, любая эта информация может быть сфотографирована. А развитие современных средств фотографии привело к тому, что даже на очень большом расстоянии изображение имеет высокое разрешение.

При организации защиты информации следует помнить об этом и предусмотреть использование злоумышленником нескольких каналов утечки информации.

Заключение

Для выбора оптимальных средств обеспечения информационной безопасности в организации был проведен анализ угроз безопасности организации. Проведена оценка эффективности существующей системы безопасности. Существующая система безопасности в ООО «Партнерские технологии» нуждается в доработке. Чтобы обеспечить наиболее полную защиту, необходимо обратить внимание на наиболее уязвимые места организации: контрольно-пропускной пункт, принадлежность к сейсмоактивной зоне, топологию сети, антивирусную защиту, дисциплину сотрудников.

Система безопасности организации будет эффективной только в случае комплексного подхода к обеспечению безопасности и устранению различных каналов утечки информации.

 

Библиографический список

1. Закон РФ «Об участии в международном информационном обмене»

a. (утратил силу в 2006 году в связи с вступлением в силу 149-фз)

2. Гражданский кодекс РФ (ГК РФ) от 30.11.1994 N 51-ФЗ ст.139 (Утратила силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ)

3. Афонин И.В. Управление развитием предприятия: Стратегический менеджмент, инновации, инвестиции, цены: Учебное пособие М.: Издательско-торговая корпорация "Дашков и Ко", 2002. - 380с.

4. Бендиков М.А. Экономическая безопасность промышленного предприятия в условиях кризисного развития // Менеджмент в России и за рубежом, 2000 -№2

5. Бизнес-планирование: Учебник / Под ред. В. М. Попова и С. И. Ляпунова. - М.: Финансы и статистика, 2002. - 672 с.

6. Вихорев С., Кобцев Р. Как определить источники угроз.//Открытые системы. – 2006. - №07-08.- С.43.

7. Галатенко В.А. Основы информационной безопасности. - ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006. - 208 с.

8. Гафнер В. В. Информационная безопасность: учеб. - Ростов н/Д: Феникс, 2010. - 324 с.

9. Драга А.А. Обеспечение безопасности предпринимательской деятельности. - М.: Издательство МГТУ им. Н. Э. Баумана.2004.- 304 с.

10. Емельянова Н.З., Партыка Т.А., Попов И. Основы построения автоматизированных информационных систем: учебное пособие для студ. СПО. М.: Форум; Инфра-М, 2009. 416 с.

11. Защита информации. Конфидиент: Информационно-методический журнал. - М.: Конфидиент, 2002, №43.

12. Люкшинов А.Н. Стратегический менеджмент: Учебное пособ. для вузов М.: ЮНИТИ- ДАНА, 2000. - 375 с.

13. Макаренко С. И. Информационная безопасность. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. - 372 с.

14. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком, 2004. - 89 с.

15. Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. Заведений. - Издательский центр Академия, 2008. - 332 с.

16. Мур А., Хиарнден К. Руководство по безопасности бизнеса: Практическое пособие по управлению рисками. - М.: Информационно-издательский дом «Филинъ», 1998. - 328 с.

17. Некрасова М. Наша служба безопасна...// БОСС, 2003 - №8

18. Нестеров С.А. Информационная безопасность и защита информации: учеб. пособие/ С. А.Нестеров. – СПб.: Изд-во Политехн. ун-та, 2009. – 126 с

19. Олифер В.Г., Олифер Н.А.,Компьютерные сети. Принципы, тех-нологии, протоколы, 2-е изд., СПб, Питер-пресс, 2006. 54 с.

20. Основы информационной безопасности. Белов Е.Б, Лось В.П. и др. - М.: Горячая линия - Телеком, 2006. - 544 с.

21. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие – М.: Радио и связь, 2007.43 с.

22. Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: Компания АйТи, 2006. - 400 с.

23. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008. 65 с

24. Судоплатов А.П., Лекарев С.В. Безопасность предпринимательской деятельности: Практическое пособие. - М.: ОЛМА-ПРЕСС, 2001.-382 с.

25. Трояновский В. М. Математическое моделирование в менеджменте. Учебное пособие. 2-е изд., испр. и доп. - М:. Издательство РДЛ, 2000. - 256с.

26. Управление организацией: Учебник / Под ред. А.Г. Поршнева, З.П. Румянцевой, Н.А. Саломатина. 2-е изд., перераб. и доп. - М.: ИНФРА-М, 1998. - 305 с.

27. Фатхутдинов Р.А. Стратегический менеджмент: Уч-к для вузов. - М.: ЗАО "Бизнес-школа","Интел-Синтез", 2003 – 416

28. Черкасов В.Н. Бизнес и безопасность. Комплексный подход. - М.: Армада-пресс, 2001. - 384 с.

29. Экономика и организация безопасности хозяйствующих субъектов: Учебник. Под редакцией В.С. Гусева. - СПб.: ИД «Очарованный странник», 2001. -256 с.

30. Экономическая стратегия фирм. Под редакцией Н.Н. Градова. - СПб.: Спецлитература, 1995. - 400 с.

31. Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 1996. - 137 с.

32. Ярочкин В.И. Предприниматель и безопасность. - М.: Ось-89, 1994. - 230 с.

33. Ярочкин В.И. Служба безопасности коммерческого предприятия. - М.: Ось-89, 1995. - 300 с.

34. Ярочкин В.И., Бузанова Я.Н. Недобросовестная конкуренция. - М.: Ось-89, 2000. - 245 с.

35. Ярочкин В.И. Информационная безопасность. - М.:Академический Проект, 2008. - 544.

 

[1] Закон РФ «Об участии в международном информационном обмене»(утратил силу в 2006 году в связи с вступлением в силу 149-фз)

[2] Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 1996. -с.31

[3] Основы информационной безопасности. Белов Е.Б, Лось В.П. и др. - М.: Горячая линия - Телеком, 2006. - 56 с.

 

[4] Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 1996. с.45

[5] Гражданский кодекс РФ (ГК РФ) от 30.11.1994 N 51-ФЗ ст.139 (Утратила силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ)

[6] В.П. Мельников, С.А. Клейменов, А.М. Петраков. Информационная безопасность и защита информации. – М.: Академия, 2008. с. 61.

[7] Черкасов В.Н. Бизнес и безопасность. Комплексный подход. - М.: Армада-пресс, 2001. - 121 с.

[8] В.П. Мельников, С.А. Клейменов, А.М. Петраков. Информационная безопасность и защита информации. – М.: Академия, 2008. с. 64.

[9] Драга А.А. Обеспечение безопасности предпринимательской деятельности. - М.: Издательство МГТУ им. Н. Э. Баумана. 2004. - 304 с

[10] Макаренко С. И. Информационная безопасность. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. с.65

[11] Галатенко В.А. Основы информационной безопасности. - ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006. - 112 с.

[12] Защита информации. Конфидиент: Информационно-методический журнал. - М.: Конфидиент, 2002, №43

[13] Нестеров С. А. Информационная безопасность и защита информации: учеб. пособие/ С. А. Нестеров. – СПб.: Изд-во Политехн. ун-та, 2009. –с.35

[14] Галатенко В.А. Основы информационной безопасности. - ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006. – с. 122

[15] А.А. Хорев «Способы и средства защиты информации» с.25

[16] Корнюшин П.Н., Костерин С.С. «Информационная безопасность» с.26

[17] Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008. – 69 с.

[18] Нестеров С. А. Информационная безопасность и защита информации: учеб. пособие/ С. А.Нестеров. – СПб.: Изд-во Политехн. ун-та, 2009. – с. 121

[19] Абалмазов Э. И. «Методы и инженерно-технические средства противодействия информационным угрозам» стр. 57

[20] Ярочкин В.И. «Информационная безопасность» стр.25

[21] Олифер В.Г., Олифер Н.А.,Компьютерные сети. Принципы, технологии, протоколы, 2-е изд., СПб, Питер-пресс, 2006. 48 с.

 

[22] Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие – М.: Радио и связь, 2007.43 с. 154

[23] Бизнес-планирование: Учебник / Под ред. В. М. Попова и С. И. Ляпунова. - М.: Финансы и статистика, 2002. – 125 с.

[24] Гафнер В. В. Информационная безопасность: учеб. - Ростов н/Д: Феникс, 2010. – 114 с.

[25] Черкасов В.Н. Бизнес и безопасность. Комплексный подход. - М.: Армада-пресс, 2001. – 96 с.

[26] Макаренко С. И. Информационная безопасность. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. – 79 с.

Теоретические основы обеспечения информационной безопасности

Информация – сведения о событиях, процессах, явлениях, являющихся предметом передачи, хранения, распространения, преобразования.

Информационная безопасность – это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств.[1]

Режим информационной безопасности – это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:

• доступность и целостность информации;

• конфиденциальность информации;

• невозможность отказа от совершенных действий;

• аутентичность электронных документов.

Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, несущих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.