Защита информации в организациях

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Тихоокеанский Государственный Экономический Университет

Филиал в г. Уссурийске

Контрольная работа

по дисциплине: «Теория организации»

на тему: ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИЯХ

Выполнила: Антонова О.Н.

студентка 2 курса заочного факультета сокращенной формы обучения

специальность «Государственное и муниципальное управление»

Код № 017 - Гс

г. Уссурийск

2008

Под угрозами конфиденциальной информации принято понимать потенциальные или реальные возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

w ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

w модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

w разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности (рис.1), что приводит к нарушению режима управления и его качества в условиях ложной или неполной информации.

Рис. 1

		УГРОЗЫ ИНФОРМАЦИИ

Проявляются нарушения

Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призваны снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам:

- по величине принесенного ущерба:

s предельный, после которого фирма может стать банкротом;

s значительный, но не приводящий к банкротству;

s незначительный, который фирма за какое-то время может компенсировать.

- по вероятности возникновения:

s весьма вероятная угроза;

s вероятная угроза;

s маловероятная угроза.

- по причинам появления:

s стихийные бедствия;

s преднамеренные действия.

- по характеру нанесенного ущерба:

s материальный;

s моральный.

- по характеру воздействия:

s активные;

s пассивные.

- по отношению к объекту:

s внутренние;

s внешние.

Источниками внешних угроз являются:

s недобросовестные конкуренты;

s преступные группировки и формирования;

s отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

s администрация предприятия;

s персонал;

s технические средства обеспечения производственной и трудовой деятельности.

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

s 82% угроз совершается собственными сотрудниками фирмы при их прямом или опосредованном участии;

s 17% угроз совершается извне - внешние угрозы;

s 1% угроз совершается случайными лицами.

Нарушение статуса информации обусловлено ее уязвимостью, которая означает неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, сохранять при таких воздействиях свой статус.

Но уязвимость информации - понятие собирательное, она не существует вообще, а проявляется (выражается) в различных формах. В научной литературе и нормативных документах не сформировался термин форма проявления уязвимости информации, но самих конкретных форм называется множество. При этом значительное количество перечисляемых форм являются синонимами или разновидностями одних и тех же явлений, некоторые не могут быть отнесены к формам по своей сущности.

Представляется, что к формам проявления уязвимости информации, выражающим результаты дестабилизирующего воздействия на информацию, должны быть отнесены:

- хищение носителя информации или отображенной в нем информации (кража);

- потеря носителя информации (утеря);

- несанкционированное уничтожение носителя информации или отображенной в неминформации (разрушение);

- искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация);

- блокирование информации;

- разглашение информации (несанкционированное распространение, раскрытие).

Хищение информации часто ставится в один ряд с ее несанкционированным копированием, размножением, съемом, перехватом. Однако последние, являются не формами проявления уязвимости информации, а способами хищения.

Любая форма уязвимости информации может реализоваться при преднамеренном или случайном, непосредственном или опосредованном дестабилизирующем воздействии различными способами на носитель информации или саму информацию со стороны определенных источников воздействия.

Результатами проявления форм уязвимости информации могут быть либо утрата, либо утечка информации, либо одновременно то и другое.

К утрате как конфиденциальной и защищаемой части открытой информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

Утечка информации - неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа. Утечка может произойти в результате потери и хищения носителя конфиденциальной информации, а также хищения отображенной в носителе информации при сохранности носителя у собственника (владельца).

Хищение конфиденциальной информации не всегда связано с получением ее лицами, не имеющими к ней доступа. В любом случае потеря и хищение если и не приводят к утечке информации, то создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря.

Хищение может привести и приводит к разглашению и выступает в роли опосредованного способа разглашения, но, результатом хищения не всегда бывает разглашение, и разглашение конфиденциальной информации осуществляется не только посредством ее хищения.

Утрата и утечка информации могут рассматриваться как виды уязвимости информации.

Основными средствами для решения проблемы защиты информации, используемыми для создания механизмов защиты принято считать:

1. Технические средства - реализуются в виде электрических, электромеханических, электронных устройств. Вся совокупность технических средств принято делить на:

І аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой сети по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);

І физические - реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

2. Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации.

В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надежного сохранения информации. Необходим комплексный подход к использованию и развитию всех средств и способов защиты информации. В результате были созданы следующие способы защиты информации (рис. 2):

Рис. 2 Способы и средства защиты информации в сети

1. Препятствие - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителям информации).

2. Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).

Управление доступом включает следующие функции защиты:

І идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта про предъявленному им идентификатору;

І проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;

І разрешение и создание условий работы в пределах установленного регламента;

І регистрацию обращений к защищаемым ресурсам;

І реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

3. Маскировка - способ защиты информации в сети путем ее криптографической обработки. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.

4. Регламентация - заключается в разработке и реализации в процессе функционирования сети комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в сети защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение сети (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала, занятого обработкой информации.

5. Принуждение - пользователи и персонал сети вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы защиты информации реализуются применением различных средств защиты, причем различают технические, программные, организационные, законодательные и морально-этические средства.

Организационными средствами защиты называются организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации сети для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы сети на всех этапах: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц.

Все рассмотренные средства защиты делятся на:

1. ФОРМАЛЬНЫЕ - выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека.

2. НЕФОРМАЛЬНЫЕ - такие средства, которые либо определяются целенаправленной деятельностью людей, либо регламентируют эту деятельность.

Использование информационных систем связано с определенной совокупностью рисков. Когда риск неприемлемо велик, необходимо предпринять защитные меры. Периодическая переоценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.

Главная цель мер, предпринимаемых на управленческом уровне, - формирование программы работ в области информационной безопасности и обеспечение ее выполнения. В задачу управления входит выделение необходимых ресурсов и контроль состояния дел. Основой программы является многоуровневая политика безопасности, отражающая подход организации к защите своих информационных активов.

Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта "комплексность" заключается, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

С практической точки зрения политику безопасности целесообразно разделить на три уровня. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и, как правило, исходят от руководства организации. Примерный список подобных решений может включать в себя следующие элементы:

· формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных за продвижение программы;

· формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

· обеспечение базы для соблюдения законов и правил;

· формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Если организация отвечает за поддержание критически важных баз данных, на первом плане может стоять уменьшение случаев потерь, повреждений или искажений данных. Для организации, занимающейся продажами, вероятно, важна актуальность информации о предоставляемых услугах и ценах, а также ее доступность максимальному числу потенциальных покупателей. Режимная организация в первую очередь заботится о защите от несанкционированного доступа - конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. В-третьих, необходимо обеспечить определенную степень послушания персонала, а для этого нужно выработать систему поощрений и наказаний.

К среднему уровню можно отнести вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией.

Политика среднего уровня должна для каждого аспекта освещать следующие темы:

· описание аспекта;

· область применения, следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности;

· позиция организации по данному аспекту;

· роли и обязанности. В документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь;

· законопослушность, политика должна содержать общее описание запрещенных действий и наказаний за них;

· точки контакта, должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией

Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее.

При формулировке целей политика нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее.

Коммерческая тайна - преднамеренно скрываемые по коммерческим соображениям экономические интересы и сведения о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности фирмы, охрана которых обусловлена интересами конкуренции и возможными угрозами экономической безопасности фирмы. Коммерческая тайна возникает тогда, когда она представляет интерес для коммерции (Гражданский кодекс РФ, глава 6, статья 139).

Коммерческие секреты - форма проявления коммерческой тайны. Представляет собой сведения в виде документов, схем, изделий, относящиеся к коммерческой тайне фирмы и подлежащие защите со стороны службы безопасности от возможных посягательств путем похищения, выведения, утечки информации.

Они различаются по следующим признакам:

- по природе коммерческой тайны (технологические, производственные, организационные, маркетинговые, интеллектуальные, рекламные);

- по принадлежности собственнику (собственность предприятия, группы предприятий, отдельного лица, группы лиц и т.д.);

- по назначению коммерческих секретов.

Документы, содержащие коммерческие секреты, могут иметь гриф «конфиденциально», «строго конфиденциально», «конфиденциально, только адресату» и другие.

Носитель коммерческого секрета - лицо, осведомленное о коммерческих секретах предприятия или фирмы (руководители и допущенные к коммерческим секретам исполнители).

Носителей коммерческих секретов следует отличать от источников закрытой коммерческой информации («ноу-хау», схемы, документы, технологии, изделия, образцы).

Секретность в условиях рыночного хозяйствования защищает производителя от недобросовестной конкуренции, к которой относятся различные противоправные действия.

К коммерческой тайне относится:

Деловая информация:

- финансовые сведения;

- данные о цене (стоимости) продукции и услуг, технологии;

- деловые планы и планы производства новой продукции;

- списки клиентов и продавцов, контракты, преференции и планы;

- информация о маркетинге;

- соглашения, предложения, квоты;

- списки персонала, организационные схемы и информация о сотрудниках (их характеристики).

Техническая информация:

- научно-исследовательские проекты;

- конструкторские разработки по производству какой-либо продукции и ее технические параметры;

- заявки на патенты;

- дизайн, эффективность и возможности производственных методов, оборудования и систем;

- информационный процесс;

- программное обеспечение ЭВМ.

Анализируя отечественный опыт по созданию механизма защиты коммерческой тайны, можно выделить основные блоки, из которых он состоит:

- нормы права, направленные на защиту интересов ее владельцев;

- нормы, устанавливаемые руководством предприятия, фирмы и т.п. (приказы, распоряжения, инструкции);

- специальные структурные подразделения, обеспечивающие соблюдение этих норм (подразделения режима, службы безопасности и т. п.).

Главное место в организации надежной защиты секретной информации должно отводиться работе с кадрами. Специалисты считают, что сохранность секретов на 80% зависит от правильного подбора, расстановки и воспитания кадров. И эта работа должна начинаться со дня приема человека на работу.

Вторым по важности мероприятием должно быть ограничение доступа к секретной информации. Работа должна быть организована таким образом, чтобы каждый сотрудник имел доступ только к той информации, которая необходима ему в процессе выполнения прямых служебных обязанностей. Эта мера не сможет сама по себе полностью защитить от возможной ее утечки, но позволит свести возможный ущерб к минимуму.

Третьим направлением в работе с кадрами является проведение воспитательной работы. Специалисты в области противодействия промышленному шпионажу дают следующие рекомендации:

- использовать любую возможность для пропаганды программ обеспечения режима секретности;

- всемерно стимулировать заинтересованность сотрудников в выполнении режима секретности;

- не забывать периодически вознаграждать сотрудников за успехи в защите секретной информации.

Вместе с тем не следует ограничиваться только воспитательной работой и обучением. Сотрудник, нарушивший правила работы с секретной информацией, должен знать, что у него будут серьезные неприятности и он будут строго наказан руководством.

Следует подготовить план по охране коммерческой тайны, который должен состоять из двух разделов:

- предотвращение похищения секретной информации;

- предотвращение утечки секретной информации.

Для этого требуется:

- определить, какая коммерческая информация является секретом фирмы;

- установить места ее накопления;

- выявить потенциальные каналы утечки информации;

- получить консультацию по перекрытию этих каналов у специалистов;

- проанализировать соотношение затрат по использованию различных систем, обеспечивающих защиту секретной информации, и выбрать наиболее приемлемую;

- назначить людей, ответственных за каждый участок этой системы;

- составить график проверки состояния дел на участках.

Система обеспечения безопасности фирмы включает в себя следующие организационные мероприятия:

- контроль помещений и оборудования;

- работа с персоналом;

- организация работы с конфиденциальными документами;

- работа с конфиденциальной информацией, накопленной в компьютерах фирмы;

- защита коммерческих тайн фирмы в процессе заключения контрактов.

При работе с документами, содержащими коммерческую тайну, следует соблюдать определенные правила, которые сводятся к нижеследующему:

- строгий контроль (лично или через службу безопасности) за допуском персонала к секретным документам;

- назначение ответственных лиц за контролем секретного делопроизводства и наделение их соответствующими полномочиями;

- разработка инструкции (памятки) по работе с секретными документами, ознакомление с ней соответствующих сотрудников фирмы;

- контроль за принятием служащими письменных обязательств о сохранении коммерческой тайны фирмы;

- введение системы материального и морального поощрения сотрудников, имеющих доступ к секретной информации;

- внедрение в повседневную практику механизмов и технологий защиты коммерческой тайны фирмы;

- личный контроль со стороны руководителя фирмы за службами внутренней безопасности и секретного делопроизводства.

Самое важное на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Пока такого механизма нет. Российская законодательная база в области информационной безопасности явно неполна.

Справедливости ради необходимо отметить, что ограничительная составляющая в российском законодательстве представлена существенно лучше, чем координирующая и направляющая. Глава 28 Уголовного кодекса достаточно полно охватывает основные аспекты информационной безопасности, однако обеспечить реализацию соответствующих статей пока еще сложно.

Положения базового Закона "Об информации, информатизации и защите информации" носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно. Характерно, что Закон разъясняет вопросы ответственности в случае использования несертифицированных средств, но что делать, если нарушение информационной безопасности произошло в системе, построенной строго по правилам? Кто возместит ущерб субъектам информационных отношений? В этой связи, Россия - одна из немногих стран, сохранивших жесткий государственный контроль за производством и распространением внутри страны средств обеспечения информационной безопасности, в особенности продуктов криптографических технологий.

В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии России, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем.

В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Особое внимание следует обратить на то, что желательно привести российские стандарты и сертификационные нормативы в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть целый ряд оснований для того, чтобы это сделать. Одно из них - необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских компаний. Второе (более существенное) - доминирование аппаратно-программных продуктов зарубежного производства.

На законодательном уровне должен быть решен вопрос об отношении к таким изделиям. Здесь необходимо выделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь, военных), может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.

Основные направления деятельности на законодательном уровне:

· разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;

· обеспечение баланса созидательных и ограничительных (в первую очередь преследующих цель наказать виновных) законов;

· интеграция в мировое правовое пространство;

· учет современного состояния информационных технологий.

Федеральным законом "Об информации, информатизации и защите информации" определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что "конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации". При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон "Об информации, информатизации и защите информации" напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РСФСР "О банках и банковской деятельности в РСФСР" ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139): соответствующая информация неизвестна третьим лицам; к ней свободного доступа на законном основании; меры по обеспечению ее конфиденциальности принимает собственник информации.

Федеральный закон "Об информации, информатизации и защите информации", определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации: предотвращение утечки, хищения, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации; сохранение государственной тайны, конфиденциальности документированной информации.

СТРУКТУРА ЗАКОНОДАТЕЛЬСТВА РОССИИ

В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

Кодекс об административных правонарушениях, гражданский и уголовный кодексы РФ

Нормативно-правовые акты и организационно-распорядительные документы

Положения, инструкции, нормативно-технические и методические документы

Практической реализацией концепции информационной безопасности организации является система защиты информации. Защита информации представляет собой жестко регламентированный и динамический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.

Система защиты информации - рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке.

Основной характеристикой системы является ее комплексность, т.е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивают индивидуальность построения системы защиты информации и гарантируют неповторимость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами системы являются: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический.

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений организации и государства по поводу правомерности использования системы защиты информации, организации и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:

І наличие в организационных документах организации, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

І формулирование и доведение до сведения всех сотрудников организации положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

І разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации организации. Эти меры связаны с установлением режима конфиденциальности в организации. Элемент включает в себя регламентацию:

І формирования и организации деятельности службы безопасности и службы конфиденциальной документации, обеспечения деятельности этих служб нормативно-методическими документами по организации и технологии защиты информации;

І составления и регулярного обновления состава (списка) защищаемой информации фирмы, составления и ведения перечня защищаемых бумажных, машиночитаемых и электронных документов организации;

І разрешительной системы разграничения доступа персонала к защищаемой информации;

І методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;

І направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

І технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов организации (делопроизводственной, автоматизированной и смешанной технологий), внемашинной технологии защиты электронных документов;

І порядка защиты ценной информации организации от случайных или умышленных несанкционированных действий персонала;

І ведения всех видов аналитической работы;

І порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;

І оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

І пропускного режима на территории, в здании и помещениях организации, идентификации персонала и посетителей;

І системы охраны территории, здания, помещений, оборудования, транспорта и персонала организации;

І действий персонала в экстремальных ситуациях;

І организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;

І организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

І работы по управлению системой защиты информации;

І критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.



Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является, прежде всего организация в организации аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.

Литература

1) Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право.- Спб.: Изд-во «Юридический центр Пресс», 2001.

2) Дика В.В. Информационные системы в экономике. М.: Финансы и статистика, 1996.

3) Зайцев Л.Г., Соколова М.И. Стратегический менеджмент: Учебник. - М.: Юристъ, 2002.

4) Кирсанов К.А., Малявина А.В., Попов Н.В. «Информационная безопасность: Учебное пособие». - М.:МАЭП, ИИК «Калита», 2000.

5) Мак-Мак В.П. Служба безопасности предприятия (организационно-управленческие и правовые аспекты деятельности). - М: Мир безопасности, 1999.

6) Нестеров А., Вакурин А. Криминализация экономики и проблемы экономической безопасности. Вопросы экономики. - М.: Издательство «Эксмо», 2004.

7) Полный сборник кодексов Российской Федерации. - М.: Издательство «Эксмо», 2004.

8) Савельев А.Я. Основы информатики: Учебник для вузов. - М.: Издательство МГТУ им. Н. Э. Баумана, 2001.

9) Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации. Учебное пособие. - М.: ИНФРА-М, 2001.

10) Тихомиров В.П., Хорошилов А.В.,«Введение в информационный бизнес». - М.: Финансы и статистика, 1996.

11) Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический проект; Фонд «Мир», 2003.