Автор работы: Пользователь скрыл имя, 04 Марта 2013 в 17:28, контрольная работа
В соответствии со ст. 2 Закона Республики Беларусь «Об информации, информатизации и защите информации» защита информации – это комплекс правовых, организационных и технических мер, направленных на обеспечение целостности (неизменности), конфиденциальности, доступности и сохранности информации от неправомерного (несанкционированного) доступа, уничтожения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении защищаемой информации.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
• в предпринимательских структурах и направлениях подобной деятельности – сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства;
• независимо от принадлежности – любые персональные (личные) данные о гражданах, а также сведения, содержащие профессиональную тайну, технические и технологические качества (до их патентования), тайну предприятий связи, сферы обслуживания и т.д.
Безопасность ценной документируемой информации определяется степенью ее защищенности от последствий экстремальных ситуаций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам с использованием организационных и технических каналов, в результате чего могут произойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение.
При работе с конфиденциальными документами возникает возможность утечки (разглашения), а также утраты охраняемой документированной информации в результате проявления различных угроз безопасности конфиденциальных документов, к которым относятся:
1. Хищение документа (его части), проекта, черновиков либо чистого носителя информации, предназначенного для составления документа (кража).
2. Потеря документа, его чернового варианта, рабочих записей либо чистого носителя, предназначенного для составления документа (утрата).
3. Несанкционированное уничтожение носителя или самой информации (разрушение).
4. Подмена документа, его отдельных частей или чистого носителя.
5. Несанкционированное копирование информации.
6. Несанкционированная модификация (изменение) содержащейся в документе информации и т.д.
В качестве источников угроз конфиденциальной документированной информации могут выступать люди, технические средства обработки и передачи информации, стихийные бедствия и т.д. Способами дестабилизирующего воздействия на защищаемую информацию являются нарушение технологии ее обработки и хранения, физическое воздействие на носитель информации и т.д.
Конфиденциальные документы должны обрабатываться в конфиденциальном делопроизводстве фирмы, либо в общем делопроизводстве, специально назначенным должностным лицом, ответственным за конфиденциальные документы.
Конфиденциальные документы
Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников. В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использование в своих целях
Под злоумышленником понимается лицо, действующее в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником и т.п.)
Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат – овладение информацией и противоправное ее использование или совершение иных действий. Целью и результатом несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных служб, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организационных структур, а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.
Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происходит в большинстве случав не в результате преднамеренных действий, а из-за невнимательности и безответственности персонала.
Следовательно, утрата информационных ресурсов ограниченного доступа может наступить:
- при наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;
- при возникновении
риска угрозы, организованной
- при наличии условий,
позволяющих злоумышленнику
Эти условия могут включать:
- отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
- неэффективную систему
защиты информации или
- непрофессионально
организованную технологию
- неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
- отсутствие системы
обучения сотрудников правилам
защиты информации
- отсутствие контроля
со стороны руководства фирмы
за соблюдением персоналом
- бесконтрольное посещение помещений фирмы посторонними лицами.
Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней.
Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации.
Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов – профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т.п.
Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации, исчезновение носителя информации.
В том случае, когда речь идет об утрате информации по вине персонала, используется термин «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т.д.
Утрата информации характеризуется
двумя условиями: информация переходит
а) непосредственно к
Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место.
Непреднамеренный переход информации к третьему лицу возникает в результате:
- утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;
- игнорирования или умышленного невыполнения сотрудником требований по защите документированной информации;
- излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т.п.);
- работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;
- использования сведений ограниченного доступа в открытых документации, публикациях, интервью, личных записях, дневниках и т.п.;
- отсутствия маркировки информации и документов ограниченного доступа (в том числе документов на технических носителях);
- самовольного копирования документов в служебных или коллекционных целях.
Каналы несанкционированного доступа могут быть двух типов: организационные и технические.
Основными видами организационных каналов могут быть:
- поступление на работу в фирму;
- участие в работе фирмы в качестве партнера, посредника, клиента;
- использование коммуникативных связей фирмы – участие в переговорах, совещаниях, переписке с фирмой и др.;
- тайное или по фиктивным документам проникновение в здание фирмы и помещения, криминальный, силовой доступ к информации, т.е. кража документов, дискет, дисков, компьютеров, шантаж и склонение к сотрудничеству отдельных сотрудников, подкуп сотрудников, создание экстремальных ситуаций и т.п.;
- получение нужной информации от третьего (случайного) лица.
Организационные каналы
или формируются
Широкие возможности
несанкционированного получения информации
создает техническое
Технические каналы утечки информации возникают при использовании злоумышленником специальных технических средств промышленного шпионажа. Канал возникает при анализе физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, при перехвате информации, имеющей звуковую, зрительную или иную форму отображения. Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др.
В целях практической реализации поставленных задач злоумышленник определяет не только каналы несанкционированного доступа к информации, но и совокупность методов получения этой информации.
В основе легального метода
лежит кропотливая
Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными методами.
Нелегальные методы предполагают: воровство, продуманный обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, инсценирование или организацию экстремальных ситуаций, использование различных криминальных приемов и т.д.
Получение ценных документов или информации ограниченного доступа может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.
Следовательно, любые информационные ресурсы фирмы являются весьма уязвимой категорией и при интересе, возникшем к ним со стороны злоумышленника, опасность их утраты становиться достаточно реальной.
ЗАДАЧА
Студенту БГУ Иванову В.И. для прохождения дипломной практики на режимном предприятии ОАО «Олимп» был оформлен допуск к государственным секретам по форме № 1. Во время выполнения задания по проверке надёжности одного из узлов секретного прибора Иванов В.И. обратился к курирующему его инженеру-конструктору Антонову И.И. с просьбой помочь ему разобраться в механизме функционирования специзделия. Антонов И.И. выяснив, что у Иванова В.И. уже оформлен допуск к сведениям, составляющим государственную тайну по форме № 1, а также, что после практики он будет направлен на работу в его конструкторское бюро, предоставил дипломнику возможность ознакомиться с технической документацией механизма данного специзделия, имеющей гриф «секретно». Допустил ли Антонов И.И. разглашение государственных секретов? Что является основанием получения доступа к государственным секретам?