Роль информационной безопасности в современном документационном обеспечении управления на предприятии

Автор работы: Пользователь скрыл имя, 06 Сентября 2014 в 09:19, дипломная работа

Краткое описание

Целью данной работы будет оценить существующую в организации систему информационной безопасности и разработать мероприятия по её совершенствованию.
Поставленная цель обуславливает следующие задачи дипломной работы:
- рассмотреть понятие информационная безопасность;
- рассмотреть виды возможных угроз информационным системам варианты защиты от возможных угроз утечки информации в организации.
- выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию;

Содержание

Введение 4
1. Теоретические аспекты понятия и информационная безопасность 6
1.1 Сущность информационной безопасности 6
1.2 Категории действий способных нанести вред информационной безопасности 7
1.3 Методы обеспечения информационной безопасности 19
2. Информационная безопасность в службе ДОУ 32
2.1 Сущность конфиденциального документа 32
2.2 Виды информации конфиденциального характера 49
2.3 Правила оформления, регистрации документации, содержащей конфиденциальные сведения 51
Заключение 71
Список использованных источник

Вложенные файлы: 1 файл

ДИПЛОМ КАЗАКОВ.docx

— 106.00 Кб (Скачать файл)

Лучший способ уменьшить количество ошибок в рутинной работе - максимально автоматизировать ее. Автоматизация и безопасность зависят друг от друга, ведь тот, кто заботится в первую очередь об облегчении своей задачи, на самом деле оптимальным образом формирует режим информационной безопасности.

Резервное копирование необходимо для восстановления программ и данных после аварий. И здесь целесообразно автоматизировать работу, как минимум, сформировав компьютерное расписание создания полных и инкрементальных копий, а как максимум - воспользовавшись соответствующими программными продуктами. Нужно также наладить размещение копий в безопасном месте, защищенном от несанкционированного доступа, пожаров, протечек, то есть от всего, что может привести к краже или повреждению носителей. Целесообразно иметь несколько экземпляров резервных копий и часть из них хранить вне территории организации, защищаясь таким образом от крупных аварий и аналогичных инцидентов. Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.

Управлять носителями необходимо для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечивать конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды (жары, холода, влаги, магнетизма). Управление носителями должно охватывать весь жизненный цикл - от закупки до выведения из эксплуатации.

Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета носителей. Важно, чтобы документация была актуальной, отражала именно текущее состояние дел, причем в непротиворечивом виде.

К хранению одних документов (содержащих, например, анализ уязвимых мест системы и угроз) применимы требования обеспечения конфиденциальности, к другим, таким как план восстановления после аварий - требования целостности и доступности (в критической ситуации план необходимо найти и прочитать).

Регламентные работы - очень серьезная угроза безопасности. Сотрудник, осуществляющий регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия он совершает. Здесь на первый план выходит степень доверия к тем, кто выполняет работу.

Политика безопасности, принятая в организации, должна предусматривать набор оперативных мероприятий направленных на обнаружение и нейтрализацию нарушений режима информационной безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

Реакция на нарушения режима безопасности преследует три главные цели:

-локализация инцидента и уменьшение наносимого вреда;

-выявление нарушителя;

-предупреждение повторных нарушений.

Нередко требование локализации инцидента и уменьшения наносимого вреда вступает в конфликт с желанием выявить нарушителя. В политике безопасности организации приоритеты должны быть расставлены заранее. Поскольку, как показывает практика, выявить злоумышленника очень сложно, на наш взгляд, в первую очередь следует заботиться об уменьшении ущерба.

Ни одна организация не застрахована от серьезных аварий, вызванных естественными причинами, действиями злоумышленника, халатностью или некомпетентностью. В то же время, у каждой организации есть функции, которые руководство считает критически важными, они должны выполняться несмотря ни на что. Планирование восстановительных работ позволяет подготовиться к авариям, уменьшить ущерб от них и сохранить способность к функционированию хотя бы в минимальном объеме. [22, c. 16]

Отметим, что меры информационной безопасности можно разделить на три группы, в зависимости от того, направлены ли они на предупреждение, обнаружение или ликвидацию последствий атак. Большинство мер носит предупредительный характер.

Процесс планирования восстановительных работ можно разделить на следующие этапы:

-выявление критически важных функций организации, установление приоритетов;

-идентификация ресурсов, необходимых для выполнения критически важных функций;

-определение перечня возможных аварий;

-разработка стратегии восстановительных работ;

-подготовка к реализации выбранной стратегии;

-проверка стратегии.

Планируя восстановительные работы, следует отдавать себе отчет в том, что полностью сохранить функционирование организации не всегда возможно. Необходимо выявить критически важные функции, без которых организация теряет свое лицо, и даже среди критичных функций расставить приоритеты, чтобы как можно быстрее и с минимальными затратами возобновить работу после аварии.

Идентифицируя ресурсы, необходимые для выполнения критически важных функций, следует помнить, что многие из них имеют некомпьютерный характер. На данном этапе желательно подключать к работе специалистов разного профиля. [21, c. 52]

Таким образом, существует большое количество различных методов обеспечения информационной безопасности. Наиболее эффективным является применение всех данных методов в едином комплексе. Сегодня современный рынок безопасности насыщен средствами обеспечения информационной безопасности. Постоянно изучая существующие предложения рынка безопасности, многие компании видят неадекватность ранее вложенных средств в системы информационной безопасности, например, по причине морального старения оборудования и программного обеспечения. Поэтому они ищут варианты решения этой проблемы. Таких вариантов может быть два: с одной стороны - это полная замена системы корпоративной защиты информации, что потребует больших капиталовложений, а с другой - модернизация существующих систем безопасности. Последний вариант решения этой проблемы является наименее затратным, но несет новые проблемы, например, требует ответа на следующие вопросы: как обеспечить совместимость старых, оставляемых из имеющихся аппаратно-программных средств безопасности, и новых элементов системы защиты информации; как обеспечить централизованное управление разнородными средствами обеспечения безопасности; как оценить, а при необходимости и переоценить информационные риски компании.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Информационная  безопасность в службе ДОУ.

2.1 Понятие конфиденциального документа

 

Целью информационной безопасности является безопасность информационных ресурсов в любой момент времени и в любой обстановке. Под безопасностью информационных ресурсов (информации) понимается относительно гарантированная в конкретной ситуации защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования организации и условиях экстремальных ситуаций.

Проблемы обеспечения безопасности информации становятся все более сложными и значимыми в связи с массовым переходом информационных технологий в управлении на безбумажную автоматизированную основу и электронный документооборот. При всей прогрессивности этого перехода одновременно существенно расширяется и содержательно обновляется комплекс организационных, технических и технологических трудностей в предотвращении вмешательства в информационные ресурсы, которые стали легкой добычей посторонних лиц.

Подобные проблемы особенно характерны для коммерческих, негосударственных структур. В недалеком прошлом главная опасность состояла в утрате конфиденциальных документов, разглашении ценных сведений или их утечке по техническим каналам. Сейчас получило широкое развитие тайное оперирование электронными документами, сведениями в компьютерных базах данных, незаконное использование электронных массивов и последующее извлечение материальной выгоды из таких действий.

В этих условиях особенно важно учитывать, что защита электронной конфиденциальной информации осуществляется не только и не столько программно-аппаратными, криптографическими и техническими методами и средствами. Она невозможна без соблюдения требований ее защиты правовыми и организационными методами, что несущественно для автоматизированной обработки открытой информации. При игнорировании этих требований, требований комплексности защиты, уязвимость информации на магнитных, бумажных и иных носителях резко возрастает, и гарантировать в этих условиях безопасность информационных ресурсов невозможно.

Сформированные в рамках концепции информационной безопасности перспективные и текущие задачи защиты информации являются определяющими при формировании и постоянной актуализации технологического процесса защиты, предупреждающего нарушение доступности, сохранности, целостности, достоверности и конфиденциальности ценных информационных ресурсов предприятия. Решение указанных задач основывается на принципе персональной ответственности руководителей всех уровней и персонала организации за использование информации в соответствии с действующим законодательством и их функциональными обязанностями.

Предполагается, что защита ценной информации осуществляется, прежде всего, от главной опасности - несанкционированного доступа или ознакомления с информацией постороннего лица и в результате этого копирования, разглашения, уничтожения, фальсификации, искажения, незаконного оперирования, модификации, подмены и других угроз. Следует учитывать, что архитектура системы защиты должна охватывать не только электронные информационные системы, но и весь управленческий комплекс организации в единстве его реальных функциональных и структурных частей, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.

Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате.

Наиболее ценными являются сведения о производстве и продукции, рынке, научных разработках, материально-техническом обеспечении организации, условиях контрактных переговоров, сведения о персонале, системе безопасности предприятия. Больше всего конкурентов интересует информация о динамике сбыта продукции и эффективности предоставляемых предприятием услуг. В России сфера интересов конкурента обычно включает, в первую очередь, финансовую деятельность организации и направления обеспечения безопасности работы предприятия.

К разряду ценных и всегда подлежащих защите относятся сведения, составляющие производственную или коммерческую тайну сотрудничающих с организацией партнеров, заказчиков и клиентов.

В соответствии с основополагающими принципами обеспечения безопасности информационных ресурсов предприятия сведения могут быть: открытыми, т.е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т.п.; и ограниченного доступа и использования, т.е. содержащими тот или иной вид тайны и подлежащими защите, охране, наблюдению и контролю.

Под информационными ресурсами, отнесенными к категории ограниченного доступа к ним персонала и иных лиц, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и др.) ценная текстовая, изобразительная или электронная информация, отражающая приоритетные достижения в области государственной, экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам государства или ее собственника.

Законодательство Российской Федерации запрещает относить к информации ограниченного доступа:

-законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;

-документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;

-документы, содержащие информацию о деятельности органов государственной и исполнительной власти и органов местного самоуправления об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;

-документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Ценная общедоступная информация охраняется нормами информационного права (патентного, авторского, смежных прав и др.). Ценная информация ограниченного доступа дополнительно защищается регламентацией сферы и специально установленного порядка ее распространения, использования и обработки.

Конфиденциальные документы включают в себя:

-в государственных структурах - документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения, содержащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не подлежащие опубликованию в открытой печати;

-в предпринимательских структурах - документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне организации, тайне мастерства;

-независимо от принадлежности - документы и базы данных, фиксирующие любые персональные данные о гражданах, содержащие профессиональную тайну, обеспечивающую защиту личной или семейной тайны граждан, а также содержащие технические и технологические новшества (до их патентования), тайну предприятий связи сферы обслуживания и других структур.

Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.

Особенностью конфиденциального документа является то, что он представляет собой одновременно:

Информация о работе Роль информационной безопасности в современном документационном обеспечении управления на предприятии