2

ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ И НАУКЕ

ГОУ ВПО «РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ТОРГОВО-ЭКОНОМИЧЕСКИЙ УНИВЕРСИТЕТ»

Кемеровский Институт (филиал)

Кафедра менеджмента

КОНТРОЛЬНАЯ РАБОТА

По дисциплине «Основы безопасности труда»

Тема: «Информационная безопасность предприятия»

Выполнила: Каминская Е.В.

специальность: «Управление персоналом»

курс 2, группа УПз-081

Проверил: Осипова Т.Ю.,

к. пс. н., доцент

Кемерово, 2010

Содержание

Введение

1. Неправомерное овладение конфиденциальной информацией

2. Классификация угроз

3. Политика информационной безопасности предприятия

ВВЕДЕНИЕ

При создании систем безопасности на предприятии в последние годы особое внимание уделяется вопросам защиты информации, которая в современном производстве становится одним из главных объектов посягательств и угроз со стороны конкурентов и злоумышленников. Особенно это относится к конфиденциальной информации в наибольшей степени представляющей интерес, например, для конкурирующих фирм. Поэтому наряду с общим понятием безопасности предприятия (БП) рассматривается понятие информационной безопасности.

Информационная безопасность (ИБ) - это состояние защищенности информационной среды предприятия, обеспечивающее его функционирование и развитие в интересах его персонала.

При построении модели информационной безопасности предприятия учитывают целый ряд компонентов (источников, объектов, действий). Наиболее важными среди них являются следующие:

- объекты угроз;

- угрозы;

- источники угроз;

- цели угроз со стороны злоумышленников;

- источники информации;

- способы неправомерного овладения конфиденциальной информацией (способы доступа);

- направления защиты информации;

- способы защиты информации;

- средства защиты информации.

Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.[4]

1. НЕПРАВОМЕРНОЕ ОВЛАДЕНИЕ КОНФЕДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ

Неправомерное овладение конфиденциальной информацией возможно путем ее разглашения источниками сведений, утечки информации через технические средства и несанкционированного доступа к охраняемым сведениям. Учитывая важность этих понятий для дальнейшего изложения материала, рассмотрим их более подробно.

1. Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами при помощи средств передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают: личное общение (встречи, переписка и др.), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).

2. Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка информации осуществляется по различимым техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

3. Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действии злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарные или в подвижном варианте, оборудованные самыми современными техническими средствами.

Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.

Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвана снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.[2]

2. КЛАССИФИКАЦИЯ УГРОЗ

Угрозы могут быть классифицированы по следующим признакам:

а) по величине принесенного ущерба:

- предельный, после которого фирма может стать банкротом;

- значительный, но не приводящий к банкротству;

- незначительный, который фирма за какое-то время может компенсировать и др.;

б) по вероятности возникновения:

- весьма вероятная угроза;

- вероятная угроза;

- маловероятная угроза;

в) по причинам появления:

- стихийные бедствия;

- преднамеренные действия;

- материальный;

- моральный;

г) по характеру воздействиям:

- активные;

- пассивные;

д) по отношению к объекту:

- внутренние;

- внешние.

Степень опасности внутренних и внешних угроз, способствующих неправомерному овладению конфиденциальной информацией:

- разглашение (излишняя болтливость сотрудников) - 32%;

- несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;

- отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

- традиционный обмен производственным опытом - 12%;

- бесконтрольное использование информационных систем - 10%

- наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива - 8%.

Этот пример убедительно показывает, что одним из основных источников угроз для информационной безопасности является внутренний фактор, на который следует обращать первостепенное внимание при создании соответствующих служб защиты информации.

3. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Рассмотрим административный уровень информационной безопасности предприятия, то есть меры, предпринимаемые руководством организации. В основе всех мероприятий административного уровня лежит документ, часто называемый политикой информационной безопасности предприятия. Под политикой информационной безопасности понимается совокупность документированных управленческих решений и разработанных превентивных мер, направленных на защиту информационных ресурсов.

Разработка политики информационной безопасности - вопрос отнюдь не тривиальный. От тщательности ее проработки будет зависеть действенность всех остальных уровней обеспечения информационной безопасности - процедурного и программно-технического. Сложность разработки данного документа определяется проблематичностью использования чужого опыта, поскольку политика безопасности основывается на производственных ресурсах и функциональных зависимостях данного предприятия.

В связи с этим целесообразно включать в документ, характеризующий политику информационной безопасности организации, следующие пункты:

- вводный, подтверждающий заинтересованность высшего руководства проблемами информационной безопасности;

- организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

- классификационный, описывающий имеющиеся на предприятии материальные и информационные ресурсы и необходимый уровень их защиты;

- штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения, порядок реагирования на нарушение режима и т.д.);

- раздел, освещающий вопросы физической защиты информации;

- раздел управления, описывающий подход к управлению компьютерами и сетями передачи данных;

- раздел, описывающий правила разграничения доступа к производственной информации;

- раздел, описывающий порядок разработки и внедрения систем;

- раздел, описывающий меры, направленные на обеспечение непрерывной работы организации (доступности информации);

- юридический раздел, подтверждающий соответствие политики информационной безопасности текущему законодательству.

Начать составление политики следует с анализа рисков. Анализ рисков состоит из двух основных этапов: инвентаризация и классификация информационных ресурсов.

Инвентаризация информационных ресурсов поможет в определении степени необходимой защиты, контроле защищенности, а также будет полезна в других областях, как-то охрана труда и техника безопасности, страхование, финансы. В качестве ресурсов, связанных с информационных технологий, могут выступать:

- информационные ресурсы: файловые хранилища, базы данных, документация, учебные пособия, документы процедурного уровня (инструкции и т.д.);

- программные ресурсы: прикладное и системное программное обеспечение, утилиты и т.д.;

- физические ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения;

- сервисы: отопление, освещение, энергоснабжение, кондиционирование воздуха;

- человеческие ресурсы.

После инвентаризации производится классификация ресурсов. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.

Приведем пример классификации информационного ресурса. В качестве основной переменной обычно выбирают степень конфиденциальности информации со следующими значениями:

- информация, содержащая государственную тайну;

- информация, содержащую коммерческую тайну;

- конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна);

- свободная информация.

Следующей переменной может быть выбрано отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности. К примеру, база данных телефонов работников предприятия может быть оценена на 81 с точки зрения доступности, на 2 с точки зрения конфиденциальности и на 4 с точки зрения целостности .

Далее производится анализ рисков. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба. На основе результатов этого анализа составляется классификационный раздел политики информационной безопасности.[5]

В штатный раздел направлен на уменьшение риска ошибок персонала, краж, мошенничества или незаконного использования ресурсов. В дальнейшем этот раздел используется для составления должностных инструкций пользователей и руководящих документов для отделов и служб информационной безопасности. В документ желательно включить следующие разделы:

- правила проверки принимаемого на работу персонала (включаются правила подачи заявлений о приеме, необходимые документы, форму резюме, рекомендаций и т.д. Кроме того, определяются необходимость, форма и порядок проведения собеседования с работниками различных категорий. Здесь же описываются различные обязательства о неразглашении);

- обязанности и права пользователей по отношению к информационным ресурсам (обязанности пользователей по обслуживанию своего рабочего места, а также при работе с информационным ресурсами);

- обучение пользователей и порядок допуска к работам с информационными ресурсами (необходимые знания для различных категорий работников, периодичность и порядок проведения инструктажа по пользованию информационными ресурсами. Необходимо четкое знание пользователями всех процедурных вопросов (идентификация в системе, смена пароля, обновление антивирусных баз, работа с пакетами программ и т.д.). Кроме того, описывается порядок подключения пользователя к информационным ресурсам (необходимые документы, согласующие лица и подразделения));

- права и обязанности администраторов (для нормального функционирования системы администраторы информационной безопасности должны обладать достаточными правами. Отключение от сети или информационного ресурса рабочей станции, являющейся носителем вируса, - необходимость, а не нарушение технологического процесса);

- порядок реагирования на события, несущие угрозу информационной безопасности (для своевременной реакции на угрозы безопасности системы следует четко определить формальные процедуры уведомления и реагирования на подобные системы. Все пользователи должны быть обязаны сообщать закрепленным лицам об инцидентах и слабых местах в системе безопасности, сбоях в работе программного и аппаратного обеспечения. Необходимо определить и довести до сведения пользователей методы фиксации симптомов сбоев оборудования);

- порядок наложения взысканий (содержит описание процедуры наложения взысканий за нарушения установленных на предприятии правил информационной безопасности. Карательные меры и степень ответственности необходимо закрепить документально).

В зависимости от типа предприятия меры физической защиты могут варьироваться в широком диапазоне. Исходя из анализа рисков для каждого предприятия, необходимо жестко описать типы помещений и необходимые для них меры безопасности. К мерам безопасности относятся установка решеток, замков, порядок допуска в помещения, средства электромагнитной защиты и т.д. Кроме того, необходимо установить правила использования рабочего стола и способы утилизации материалов (различных магнитных носителей, бумажных документов, агрегатов), правила выноса программного и аппаратного обеспечения за пределы организации.

Разделы управления, описывающие подходы к управлению компьютерами и сетями передачи данных и порядок разработки и внедрения систем, описывают порядок выполнения стандартных операционных процедур оперирования данными, правила ввода систем в эксплуатацию (приемка систем), аудита их работы. Кроме того, в данном разделе указывается порядок защиты предприятия от вредоносного программного обеспечения (регламент работы антивирусной системы в частности). Определяются порядок аудита работоспособности систем и резервное копирование. Описываются стандартное программное обеспечение, разрешенное к работе на предприятии. Здесь же описываются системы защиты электронной почты, системы электронной цифровой подписи и другие криптографические системы и системы аутентификации, работающие на предприятии. Это немаловажно, поскольку российское законодательство в области жестко в этом отношении.

Права доступа к системам должны быть документированы, а порядок их предоставления определен нормативными документами. Должны быть указаны должности, производящие согласование заявок на предоставление прав доступа, а также осуществляющие раздачу прав. Кроме того, в организациях с серьезными требованиями к информационной безопасности определяется порядок проверок прав доступа к системам и лица, его осуществляющие. В этом же разделе описываются правила (политика) пользовательских паролей.

Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности. В свою очередь, политика строится на анализе рисков, и чем полнее будет произведен анализ, тем эффективнее будет документ. Анализу подвергаются все основные ресурсы, включая материальную базу и человеческие ресурсы. Политика безопасности строится в соответствии со спецификой предприятия и законодательной базой государства.[5]

ЗАКЛЮЧЕНИЕ

Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Достижение заданных целей возможно в ходе решения следующих основных задач:

- отнесение информации к категории ограниченного доступа (служебной тайне);

- прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.

В целом необходимо оценивать или переоценивать уровень текущего состояния информационной безопасности предприятия, вырабатывать рекомендации по обеспечению (повышению) информационной безопасности предприятия, снижать потенциальные потери предприятия или организации путем повышения устойчивости функционирования корпоративной сети, разрабатывать концепцию и политику безопасности предприятия, а также предлагать планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации предприятия от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

СПИСОК ЛИТЕРАТУРЫ

1. Девисилов, В.А. Охрана труда [Текст]: учебник / В.А. Девисилов. -М.: ФОРУМ: ИНФРА-М, 2005. - 2005. - 400 с.: ил. - (Профессиональное образование)

2. Раздорожный, А.А. Охрана труда и производственная безопасность [Текст]: учебно-методическое пособие / А.А. Раздорожный. - М.: Издательство «Экзамен», 2005. - 512 с. (Серия «Документы и коммерции»).

3. Информация о методах построения информационной безопасности [Электронный ресурс] //http://www.security.meganet.md

4. Информация об информационной безопасности [Электронный ресурс] //http://www.securityinform.ru/