Анализ информационной защиты ОАО "Каникулы"

Система электронного документооборота. Защита информации как комплекс мероприятий для обеспечения информационной безопасности. Моделирование угроз безопасности информации. Рекомендации по совершенствованию защиты документооборота в ОАО "Каникулы".

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 29.05.2013
Размер файла 108,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Аннотация

Целью курсовой работы по дисциплине "Информационная безопасность и защита информации" является совершенствование документационного обеспечения в области защиты информации, а так же анализ информационной защиты ОАО "Каникулы"" и разработка рекомендаций по совершенствованию защиты документационного обеспечения.

Данная курсовая работа состоит из ____ страниц, 6 приложений.

Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Содержание

  • Введение
  • 1. Описание фирмы
  • 2. Анализ нормативной законодательной базы
  • 3. Анализ документооборота организации
  • 3.1 Носители защищаемой информации
  • 4. Моделирование угроз безопасности информации
  • 5. Разработка рекомендаций по совершенствованию защиты документооборота
  • 6. Разработка рекомендаций по обеспечению мер защиты информации
  • Заключение
  • Список используемых источников
  • Приложения

Введение

В традиционных, бумажных, системах документооборота используется комплекс мер, обеспечивающих доверие к содержанию документов. Это регламент регистрации документов, подписи, печати и т.д. Такие мероприятия обеспечивают сохранность документов и регламентированный доступ к ним. Для того чтобы электронный документ мог использоваться вместо бумажного, необходимо также обеспечить доверие пользователя к его содержанию, предотвратить несанкционированные изменения и возможность утери (разрушения), организовать регламентированный доступ пользователей к документам. Это вполне соответствует классическим целям защиты информации - обеспечению ее доступности, целостности и конфиденциальности. Формулировка "защищенный документооборот" применялась и применяется к системам, решающим хотя бы часть задач информационной безопасности. Использование в электронном документообороте технологий виртуальных частных сетей (VPN), или применение электронно-цифровой подписи, или шифрование хранимых данных давало повод назвать его защищенным. Однако систем, обеспечивающих безопасность информации по всем направлениям, к тому же отвечающих требованиям отечественных нормативных документов, пока не много. Одна из них - система электронного документооборота, функционально ориентированная на планирование и сопровождение НИОКР.

Решение обеспечивает полноценную коллективную работу с электронными документами с учетом территориально распределенной организационной структуры заказчика, интеграцию с традиционно применяемыми автоматизированными

О системах электронного документооборота написано много и многими. Кажется, все уже сказано на тему их актуальности, преимуществ и удобства для пользователей. И пожалуй, не впустую сказано. Примеры в той или иной степени успешного внедрения СЭДО на базе продуктов различных компаний, как отечественных, так и зарубежных, известны. Слова "в той или иной степени успешного" здесь использованы не как выпад, скорее это попытка отметить объективные трудности внедрения. Как правило, установленные и настроенные системы электронного документооборота вполне работоспособны. А вот их активное практическое применение сдерживается различными факторами. Не на последнем месте среди них стоят и проблемы, связанные с обеспечением необходимого уровня безопасности информации в системе.

1. Описание фирмы

ОАО Туристическая фирма "КАНИКУЛЫ", зарегистрирована по адресу: 442870, г. Пенза, ул. Гусева д.66.

Специализируется на следующих видах туризма: экскурсионный, пляжный, культурно-познавательный, речной, детский и молодежный отдых, образовательный, экологический, горнолыжный, конгресс-туризм, спортивная охота и рыбалка и др.

Структурная схема туристической фирмы ОАО "КАНИКУЛЫ" представлена в приложение А

В собственности компании имеются: отели, автомобили, офисы, автобусный парк из 20 единиц европейских марок.

Туристическая фирма ОАО "КАНИКУЛЫ" специализируется на операторской деятельности в области въездного и внутреннего туризма как группового, так и индивидуального и ежегодно отправляет более 1000 туристов на собственных чартерах в Испанию, Португалию, Грецию, Францию, Италию, Марокко, Тунис, Египет, Болгарию, Хорватию, Кипр, Турцию, Таиланд, Чехию, ОАЭ, Андорру, Черногорию, Индию, Кубу, Мальту, Израиль, Китай, Финляндию, Норвегию, Индонезию, Германию, по экскурсионным групповым программам в страны Скандинавии, Прибалтики, Австрию, Великобританию, Швейцарию, Венгрию, в автобусные и железнодорожные туры по Европе, а также организует индивидуальные туры в любую точку мира.

информационная защита электронный документооборот

2. Анализ нормативной законодательной базы

1. Закон РФ "О государственной тайне" От 21 июля 1993 года, № 5485-1

Настоящий Закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.

Раздел I. Общие положения

Статья 1. Сфера действия настоящего Закона

Положения настоящего Закона обязательны для исполнения на территории Российской Федерации и за ее пределами органами законодательной, исполнительной и судебной властей (далее - органы государственной власти), местного самоуправления, предприятиями, учреждениями и организациями независимо от их организационно - правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по своему статусу исполнять требования законодательства Российской Федерации о государственной тайне (в ред. Федерального закона от 06.10.97 № 131-ФЗ).

Статья 2. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Система защиты государственной тайны - совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях

Допуск к государственной тайне - процедура оформления права граждан на доступ к сведениям, составляющим государственную тайну, а предприятий, учреждений и организаций - на проведение работ с использованием таких сведений.

Доступ к сведениям, составляющим государственную тайну - санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими государственную тайну.

Гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него.

Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Перечень сведений, составляющих государственную тайну - совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством (абзац введен Федеральным законом от 06.10.97 № 131-ФЗ).

Статья 3. Законодательство Российской Федерации о государственной тайне

Законодательство Российской Федерации о государственной тайне основывается на Конституции Российской Федерации, Законе Российской Федерации "О безопасности" и включает настоящий Закон, а также положения других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны.

2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Настоящий Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

2) применении информационных технологий;

3) обеспечении защиты информации.

3. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

4. "Доктрина Информационной безопасности Российской федерации" от 9 сентября 2000 г. № пр-1895.

Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Настоящая Доктрина служит основой для: формирования государственной политики в области обеспечения информационной безопасности Российской Федерации; подготовки предложений по совершенствованию правового, методического, научно - технического и организационного обеспечения информационной безопасности Российской Федерации; разработки целевых программ обеспечения информационной безопасности Российской Федерации.

Настоящая Доктрина развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.

5. ФЗ Закон от 04 Июля 1996 г. N 85-ФЗ "Об участии в международном информационном обмене" (принят ГД ФС РФ 05.06.1996

Цели настоящего Федерального закона - создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства, защита интересов Российской Федерации, субъектов Российской Федерации и муниципальных образований при международном информационном обмене, защита интересов, прав и свобод физических и юридических лиц при международном информационном обмене.

Настоящий Федеральный закон не затрагивает отношений, регулируемых Законом Российской Федерации "Об авторском праве и смежных правах".

Международный обмен конфиденциальной информацией, массовой информацией осуществляется в порядке, устанавливаемом настоящим Федеральным законом, другими федеральными законами и иными нормативными правовыми актами.

6. ФЗ от 27 декабря 1991 года N 2124-1 "Закон о средствах массовой информации"

В Российской Федерации поиск, получение, производство и распространение массовой информации, учреждение средств массовой информации, владение, пользование и распоряжение ими, изготовление, приобретение, хранение и эксплуатация технических устройств и оборудования, сырья и материалов, предназначенных для производства и распространения продукции средств массовой информации, не подлежат ограничениям, за исключением предусмотренных законодательством Российской Федерации о средствах массовой информации.

Цензура массовой информации, то есть требование от редакции средства массовой информации со стороны должностных лиц, государственных органов, организаций, учреждений или общественных объединений предварительно согласовывать сообщения и материалы (кроме случаев, когда должностное лицо является автором или интервьюируемым), а равно наложение запрета на распространение сообщений и материалов, их отдельных частей, - не допускается.

Создание и финансирование организаций, учреждений, органов или должностей, в задачи либо функции которых входит осуществление цензуры массовой информации, - не допускается.

7. Конституция Российской Федерации,

принятая 12 декабря 1993 года является главным документом государства и "имеет высшую юридическую силу". В ней названы виды законодательных актов, принимаемых в России: Конституция, федеральные конституционные законы и федеральные законы, имеющие прямое действие на всей территории Российской Федерации.

На основании статья 24 сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если другое не предусмотрено законом.

8. Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне"

Принят Государственной Думой 9 июля 2004 года и одобрен Советом Федерации 15 июля 2004 года. Он регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников регулируемых отношений, в том числе государства, на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.

Согласно статье 4 право на отнесение информации к информации, составляющей коммерческую тайну и на определение перечня и состава такой информации, принадлежит обладателю такой информации с учетом положений настоящего Федерального закона.

Информация, самостоятельно полученная лицом при осуществлении исследований, систематических наблюдений или иной деятельности, считается полученной законным способом, несмотря на то, что содержание указанной информации может совпадать с содержанием информации, составляющей коммерческую тайну, обладателем которой является другое лицо.

Информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом.

Информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также, если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания.

9. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ "О персональных данных"

Принят Государственной Думой 8 июля 2006 года и одобрен Советом Федерации 14 июля 2006 года. Закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

В статье 6 определены условия обработки персональных данных, которые могут осуществляться оператором с согласия субъектов персональных данных, за исключением случаев. Согласие субъекта персональных данных не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Согласно статье 7 операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.

10. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Принят Государственной Думой 8 июля 2006 года и одобрен Советом Федерации 14 июля 2006 года. Закон регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации.

На основании статьи 5 информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Согласно статье 9 федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.

11. Гражданский кодекс Российской Федерации,

Определяет правовое положение участников гражданских отношений, разновидности документов, создаваемых в целях регистрации фактов возникновения, изменения или прекращения гражданских отношений.

В соответствии с Гражданским кодексом (ст., 51, 52, 53) любое юридическое лицо подлежит государственной регистрации в уполномоченном государственном органе в порядке, определяемом законом о государственной регистрации юридических лиц.

Юридическое лицо действует на основании устава, либо учредительного договора и устава, либо только учредительного договора. Причем, учредительный договор юридического лица заключается, а устав утверждается его учредителями (участниками).

В учредительных документах юридического лица должны определяться наименование юридического лица, место его нахождения, порядок управления деятельностью и другие сведения, предусмотренные законом для юридических лиц соответствующего вида.

В Гражданском кодексе Российской Федерации отмечается возможность на законном основании ограничения свободного доступа к информации, имеющей действительную или коммерческую ценность в силу неизвестности ее третьим лицам, и способы защиты служебной или коммерческой тайны (ст.139).

Согласно статье 154 для заключения договора необходимо выражение согласованной воли двух сторон (двухсторонняя сделка), либо трех или более сторон (многосторонняя сделка). Сделки совершаются устно или в письменной форме (простой или нотариальной).

12. Трудовой кодекс Российской Федерации от 30 декабря 2001 года (вред. Федеральных законов от 24.07.2002 № 97-ФЗ, от 25.07.2002 №116-ФЗ, от 30.06.2003 № 86-ФЗ, от 27.04.2004 № 32-ФЗ) устанавливает государственные гарантии трудовых прав и свобод граждан, создает благоприятные условия труда, защиту прав и интересов работников и работодателей.

Основным документом о трудовой деятельности и трудовом стаже работника является трудовая книжка установленного образца. Форма, порядок ведения и хранения трудовых книжек, а также порядок изготовления бланков трудовых книжек и обеспечения ими работодателей устанавливаются Правительством Российской Федерации (ст.66).

В статьях 77, 79 отражены общие основания прекращения трудового договора, расторжения срочного трудового договора.

Статья 133 определяет, что минимальный размер оплаты труда устанавливается одновременно на всей территории Российской Федерации федеральным законом и не может быть ниже размера прожиточного минимума трудоспособного человека.

Статья 419 определяет виды ответственности за нарушение трудового законодательства и других нормативных актов, содержащих нормы трудового права.

13. Основами законодательства Российской Федерации об охране здоровья граждан устанавливаются правовые, организационные и экономические принципы в области охраны здоровья граждан. Согласно статье 61 информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений.

Не допускается разглашение сведений, составляющих врачебную тайну лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных частями третьей и четвертой настоящей статьи.

С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 настоящих Основ, для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым уполномоченным федеральным органом исполнительной власти.

Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации.

3. Анализ документооборота организации

Информацию можно классифицировать по трем основным признакам:

Ш по принадлежности (праву собственности),

Ш степени секретности,

Ш по содержанию.

Ш Владельцами защищаемой информации могут быть:

- государство и его структуры (органы). В этом случае к ней относятся: сведения, являющиеся государственной, служебной тайной, иные виды защищаемой информации, принадлежащей государству или ведомству. В их числе могут быть и сведения, являющиеся коммерческой тайной;

- предприятия, товарищества, акционерные общества (в том числе и совместные) и другие - информация является их собственностью и составляет коммерческую тайну;

- общественные организации - как правило, партийная тайна.

Степень секретности (конфиденциальности) без отнесения ее к какому-то конкретному виду выглядит несколько абстрактной. Но она дает представление о возможности ранжирования защищаемой информации по степени ее важности для собственника.

Всю информацию по степени секретности можно разделить на пять уровней: особой важности (особо важная); совершенно секретная (строго конфиденциальная); секретная (конфиденциальная); для служебного пользования (не для печать, рассылается по списку); несекретная (открытая).

Защищаемая информация может быть разделена на политическую, экономическую, военную, разведывательную и контрразведывательную, научно-техническую, технологическую, деловую и коммерческую.

Информацию можно рассматривать с точки зрения отображения ее на каких-то или в каких-то материальных (физических) объектах, которые длительное время могут сохранять ее в относительно неизменном виде или переносить ее из одного места в другое.

Материальные объекты, в том числе физические поля, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, создавая тем самым возможность для ее накопления, хранения, передачи и использования, называются носителями информации.

Для записи как секретной, так и несекретной информации используются одни и те же носители.

Как правило, носители секретной и конфиденциальной информации охраняются собственником этой информации. Это вызвано тем, что если к ним получит несанкционированный доступ соперник или лицо, от которого эта информация охраняется, то носитель может стать источником информации, из которого это лицо может незаконно добыть интересующую его и защищаемую от него информацию.

3.1 Носители защищаемой информации

В качестве носителя защищаемой информации выступает также человек, мозг которого представляет исключительно сложную систему, хранящую и перерабатывающую информацию, поступающую из внешнего мира. Свойство мозга отражать и познавать внешний мир, накапливать в своей памяти колоссальные объемы информации, в том числе и секретной, естественно, ставят человека на первое место как носителя конфиденциальной информации.

Человек как хранитель секретной и конфиденциальной информации обладает возможностью (кроме получения такой информации извне) генерировать новую информацию, в том числе секретную. У него как носителя защищаемой информации могут быть отмечены как позитивные черты, так и негативные.

Положительно то, что без согласия субъекта - носителя защищаемой информации, или, как еще говорят, секретоносителя, из его памяти, как правило, никакая информация не может быть извлечена. Он может ранжировать и потребителей защищаемой информации, то есть знать, кому и какую информацию он может доверить.

В то же время он может заблуждаться в отношении истинности потребителя защищаемой информации, или встать на путь сознательного не сохранения доверенной ему по службе или работе секретной или конфиденциальной информации: совершить государственную измену (шпионаж, выдача государственной или служебной тайны врагу и т.п.) или разболтать секреты своим знакомым и родственникам.

Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

По форме документы как носители информации могут быть самыми разнообразными: бумага, кино - и фотопленка, магнитные ленты и диски, перфорированные ленты и карты и др. Информация, записанная на носителе, может быть в виде текста, чертежей, формул, графиков, карт и т.п.

На документе - носителе защищаемой информации указывается степень закрытости информации (гриф секретности), поэтому потребитель, имея такие данные на руках, может знать, кому и как с этой информацией обращаться. Уровень защиты секретных документов может быть организован с учетом важности содержащихся в них секретных сведений.

Слабыми свойствами документа на бумажном носителе информации является следующее. Если к документу получил несанкционированный доступ недобросовестный потребитель, то он может воспользоваться информацией в своих целях (если она не зашифрована). Документ может быть так же утрачен: похищен или уничтожен, испорчен и т.д. За документальной информацией чаще охотятся и иностранные разведки.

4. Моделирование угроз безопасности информации

Моделирование объекта защиты включает в себя 2 этапа:

Структурное представление защищаемой информации;

Разработку моделей объектов защиты.

На первом этапе производится классификация информации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам. Детализацию информации целесообразно проводить до уровня, на котором элементу информации соответствует один источник. Схема классификации представлена в Приложении Б.

Основным методом исследования систем защиты является моделирование. Описание или физический аналог любого объекта, в том числе системы защиты информации и ее элементов, создаваемые для определения и исследования свойств объекта, представляют собой его модели. В модели учитываются существенные для решаемой задачи элементы, связи и свойства изучаемого объекта. Анализ (исследование) модели объекта называется моделированием.

Задача моделирования объектов защиты состоит в объективном описании и анализе источников конфиденциальной информации и существующей системы ее защиты.

Моделирование объектов защиты включает:

определение источников защищаемой информации;

описание пространственного расположения основных мест размещения источников защищаемой информации;

выявление путей распространения носителей с защищаемой информации за пределы контролируемых зон (помещений, зданий, территории организации);

описание с указанием характеристик существующих преград на путях распространения носителей информации за пределы контролируемых зон.

С точки зрения защиты информации ее источниками являются субъекты и объекты, от которых информация может поступать к несанкционированному получателю (злоумышленнику). Очевидно, что ценность этой информации определяется информативностью источника.

Основными источниками информации являются следующие:

люди;

документы;

продукция;

измерительные датчики;

интеллектуальные средства обработки информации;

черновики и отходы производства;

материалы и технологическое оборудование.

Моделирование проводится на основе пространственных моделей контролируемых зон с указанием мест расположения источников защищаемой информации - планов помещений, этажей зданий территории в целом. На планах помещений указываются в масштабе места размещения ограждений, экранов, воздухопроводов, батарей и труб отопления, элементов интерьера и др. конструктивных элементов, способствующих или затрудняющих распространение сигналов с защищаемой информации, а также места размещения и зоны действия технических средств охраны и телевизионного наблюдения. Моделирование состоит в анализе рассмотренных пространственных моделей возможных путей распространения информации за пределы контролируемой зоны и определении уровней полей и сигналов на их границах. В результате моделирования определяется состояние безопасности информации и слабые места существующей системы ее защиты. Результаты моделирования оформляются на планах и в таблицах. Таблица моделирование объектов защиты представлена в Приложении В.

Важнейшим результатом работ по программе должно стать, кроме решения собственно документоведческих проблем, также регламентация порядка лицензирования и сертификации систем ДОУ, автоматизированных документационных и архивных технологий, порядка доступа к информационным ресурсам. Внедрение результатов разработок комплексной программы, единых норм и правил организации работы с документацией в условиях современных информационных технологий позволят существенно повысить качество и эффективность ДОУ на всех уровнях управления.

В туристической фирме ОАО "КАНИКУЛЫ" были разработаны документы, которые способствуют совершенствованию ДОУ системы информационной безопасности. Документы представлены в Приложении Г, Е.

5. Разработка рекомендаций по совершенствованию защиты документооборота

Согласно рассмотренным угрозам и возможным каналам утечки информации из туристического агентства можно предложить следующие способы и средства защиты информации.

Оптический канал. В первую очередь для предотвращения утечки информации следует исключить возможность наиболее доступного для злоумышленника способа хищения информации - оптического. Для этого следует придерживаться следующих правил:

- интерьер агентства должен быть создан с учетом требований необходимых для обеспечения безопасности: мониторы персональных компьютеров следует располагать таким образом, чтобы информацию, находящуюся на экранах было невозможно прочитать ни при попытках наблюдения через окна, ни при открытых дверях кабинетов;

- окна должны быть снабжены шторами или жалюзи;

- двери установлены так, что, когда они открыты, рабочие места сотрудников оставались необозримыми.

- Радиоэлектронный канал. Этот канал предполагает утечку информации по линиям кабелей и /или хищение данных с помощью средств радиосвязи. Для предотвращения этого необходимо выполнять следующие требования:

- силовые и телекоммуникационные линии должны проходить под землей, в противном случае, им требуется адекватная альтернативная защита;

- сетевые кабели должны быть защищены от несанкционированного подключения или повреждения;

- необходимо регулярно проводить осмотр помещения на предмет наличия подслушивающих устройств;

- при обнаружении несанкционированных подключений к линиям связи необходимо оповестить персонал и сотрудника, отвечающего за информационную безопасность.

Акустический канал. По этому каналу может распространиться достаточно большой объем информации, так как любая деятельность обсуждается перед тем, как принять решение. Поэтому нужно особенно тщательно следить за возможностью утечки информации по этому каналу. Для этого:

- помещения должны обладать достаточной толщиной стен и дверей для того, чтобы поглощать звук;

- при проведении собеседований и/или телефонных разговоров двери руководителей должны быть плотно закрыты;

- необходимо запретить сотрудникам пользоваться сотовыми телефонами;

- ни в коем случае нельзя обсуждать проблемы в присутствии посторонних лиц;

- вентиляционные отверстия в помещении должны быть закрыты.

- Материально-вещественный канал. Для работы с бумажной документацией надо особо продумать мероприятия по предотвращению утечки по этому каналу:

- вся документация должна храниться в запирающихся шкафах или сейфах, доступ к которым должны иметь только определенные сотрудники;

- нельзя допускать, чтобы шкафы и сейфы оставались открытыми или документы, содержащие сведения оставались на столах сотрудников после окончания работы с ними;

- сотрудники должны регулярно проверять у себя наличие документов, выданных для работы;

- сотрудники должны незамедлительно возвращать документы, работа с которыми завершена, в места их постоянного хранения;

- при обнаружении недостачи документов сотрудники должны незамедлительно поставить в известность своего непосредственного начальника, а также предпринять исчерпывающие меры для их розыска.

Человеческий фактор. Для обеспечения конфиденциальности информации необходимо проводить регулярный инструктаж с сотрудниками агентства.

Текущая работа с персоналом, обладающим конфиденциальной информацией, должна включать в себя:

- обучение и систематическое инструктирование сотрудников;

- проведение регулярной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами;

- постоянный контроль за выполнением персоналом требований по защите тайны туристического агентства

- аналитическую работу по изучению степени осведомленности персонала в области конфиденциальных работ туристического агентства;

- проведение служебных расследований по фактам утечки информации и нарушений персоналом требований по защите информации;

- совершенствование методики текущей работы с персоналом. Процесс обучения сотрудников туристического агентства правилам защиты информации должен быть постоянным и регулярным, так как система защиты требует регулярного обновления и видоизменения. Занятия не должны иметь форму редких, необязательных и формальных собраний;

- необходимо установить официальную процедуру сообщения и реакции на инцидент, с которой должен быть ознакомлен весь персонал организации с такой процедурой;

- для сотрудников, нарушивших процедуру сообщения, должна быть разработана система дисциплинарного взыскания.

Дополнительно можно:

- в локальной сети ввести для каждого отдельного сотрудника свой пароль и определить для него группу документов и информации, с которой ему дозволено работать;

- при приеме на работу брать с сотрудников подписку о неразглашении коммерческой тайны;

- ввести систему штрафов и наказаний за разглашение внутри коллектива служебной конфиденциальной информации;

- ввести систему штрафов и взысканий за вынос за пределы рабочей территории каких-либо документов;

- периодически проверять локальную сеть на наличие вирусов и попыток несанкционированного подключения;

- при увольнении сотрудники должны передать начальнику все носители коммерческой тайны (дискеты, распечатки на принтерах т.д.) туристического агентства, которые находились в их распоряжении при выполнении служебных обязанностей.

Перед началом работы в данном помещении необходимо составить Акт обследования помещения секретариата туристического агентства на пригодность ведения делопроизводства (Приложение В). В целях безопасности помещения была разработана Инструкция о порядке сдачи помещения секретариата туристического агентства под охрану и приема из-под охраны (Приложение Г).

В целом, можно сказать, что в каждой организации должна быть проведена работа по защите информации с учетом особенностей деятельности организации. Эта работа должна быть выражена в разработке мероприятий и правил по защите информации, которые могут быть учтены при создании организации и прописаны в ее организационных документах, либо разрабатываться позднее и формулироваться в отдельном документе, который должен подписываться каждым сотрудником организации.

6. Разработка рекомендаций по обеспечению мер защиты информации

Пока не существует формальных методов нейтрализации угроз безопасности информации. По этой причине разработка мер по защите информации должна производиться на основе знаний и опыта соответствующих специалистов (каждый член бригады, выполняющей лабораторную работу, является специалистом - экспертом по защите конфиденциальной информации). Однако в интересах минимизации ошибок процесс разработки должен соответствовать следующим рекомендациям.

Разработку мер защиты информации целесообразно начинать с угроз, имеющих максимальное значение; далее - с меньшей угрозой, и так далее до тех пор, пока не будут исчерпаны выделенные ресурсы. Такой подход гарантирует, что даже при малых ресурсах хватит ресурсов для предотвращения наиболее значимых угроз. Для каждой угрозы разрабатываются меры (способы и средства) по защите информации.

Так как меры по защите информации рассматриваются для каждой угрозы, то в контролируемой зоне возможно их дублирование. Например, полуоткрытая дверь в служебное помещение может способствовать как наблюдению документов и экранов ПЭВМ в помещении, так и подслушиванию ведущихся в нем разговоров. Установленные на дверь устройство для автоматического ее закрытия и кодовый замок предотвращают утечку информации по этим каналам. Перечень типовых способов и средств приведен в таблице 1.

Таблица 1 - перечень типовых способов и средств.

Способы

реализации угроз

Типовые способы и средства предотвращения угроз

Физический контакт злоумышленника с источником информации

Механические преграды (заборы. КПП, двери. взломостойкие стекла. решетки на окнах. хранилища, сейфы), технические средства охраны, телевизионные средства наблюдения, дежурное и охранное освещение. силы и средства нейтрализации угроз.

Воздействие огня

Технические средства пожарной сигнализации, средства пожаротушения, огнестойкие хранилища и сейфы.

Наблюдение

Маскировочное окрашивание, естественные и искусственные маски, ложные объекты, аэрозоли. пены. радиолокационные отражатели. радио - и звукопоглощающие

Подслушивание

Цифровое шифрование, звукопоглощающие конструкции. звукоизолирующие материалы. акустическое и вибрационное зашумление. обнаружение. изъятие и разрушение закладнгых устройств

Перехват

Выполнение требований по регламенту и дисциплине связи, отключение источников опасных сигналов. фильтрация и ограничение опасных сигналов, применение буферных устройств, экранирование, пространственное и линейное зашумление.

Утечка информации по материально-вещественному каналу

Учет и контролируемое уничтожение черновиков, макетов, брака, сбор и очистка от демаскирующих веществ отходов.

Следовательно, разработка мер по предотвращению угроз представляет собой итерационный процесс, каждая итерация которого выполняется в 2 этапа:

- разработка локальных мер по предотвращению каждой из выявленных угроз;

- интеграция (объединение) локальных мер.

Условием для перехода к следующей итерации является освобождение в результате объединения способов и средств защиты информации части ресурса, достаточной для предотвращения очередной угрозы.

Заключение

В данном курсовом проекте были рассмотрены вопросы, касающиеся информационной безопасности и защиты информации, способы усовершенствования защищённого документооборота на примере туристической фирмы ОАО "КАНИКУЛЫ".

На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. Защита информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Принцип современной защиты информации можно выразить так - поиск оптимального соотношения между доступностью и безопасностью.

Лучшая защита от нападения - не допускать его. Обучение пользователей правилам сетевой безопасности может предотвратить нападения. Защита информации включает в себя кроме технических мер еще и обучение или правильный подбор обслуживающего персонала.

Список используемых источников

1. Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учеб. пособие для вузов по спец. "Документоведение и документационное обеспечение управления.". - М.: ИНФРА-М, 2001. - 301 с. - (Сер.: Высшее образование)

2. Домарев В.В. Защита информации и безопасность компьютерных систем. - К.: Издательство "Диасофт", 1999г.

3. Теория и практика обеспечения информационной безопасности. / Под pед.П.Д. Зегжды. - М.: Яхтсмен, 1996. - 192 с.

4. Конституция Российской Федерации

5. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ "О персональных данных"

6. Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне"

7. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"

8. Трудовой кодекс Российской Федерации от 30 декабря 2001 года

9. Гражданский кодекс Российской Федерации

10. Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 года № 5487-1

Приложения

Приложение А

Классификация информации

Таблица 2 - Классификация информации

№ элемента

Наименование элемента

Гриф конфиденциальности

Цена информации, руб.

Наименование источника

Местонахождение источника

1

2

3

4

5

6

1.1

Об организации

Совершенно секретно

150000

Туристическая фирма

Офис

1.1.1

Структура организации

Совершенно секретно

30000

Генеральный директор

главный бухгалтер

Офис, сейф

1.1.2

Сотрудники

Совершенно секретно

35000

Личные дела

Сейф в офисе

1.1.3

Месторасположение

Секретно

20000

Генеральный директор и заместитель директора, главный бухгалтер, сотрудники

Офис

1.1.4

Финансы

Совершенно секретно

20000

Генеральный директор и заместитель директора, главный бухгалтер, финансовые документы

Офис, сейф, дело

1.1.5

Безопасность

Совершенно секретно

20000

Устав предприятия

Сейф, дело

1.1.6

Планы и программы

Совершенно секретно

20000

Генеральный директор и заместитель директора, финансовые документы

Офис, сейф, дело

1.2

О внутренней деятельности

Секретно

40000

1.2.1

Прибыль

Совершенно секретно

40000

Генеральный директор и заместитель директора, документы

Офис, дело, сейф

1.3

О внешней деятельности

Секретно

40000

1.3.1

Принципы, концепция и стратегия маркетинга

Секретно

40000

Генеральный директор и заместитель директора, сотрудники

Офис, сейф, документы

1.3.4

Конкуренты

Секретно

40000

Генеральный и коммерческий директора, сотрудники

Офис, сейф, база данных, документы

Приложение В

Моделирование объектов защиты

Таблица 3 - Моделирование объектов защиты

1

Название помещений

Приемная

2

Этаж

2

Площадь, м2

35,5

3

Количество окон, тип сигнализации, наличие штор на окнах

2 больших окна с горизонтальными жалюзи и сигнализацией

Куда выходят окна

Из окна виден Большой парк

4

Двери, кол-во, одинарные, двойные

1 одинарная дверь и 2 двойные двери

Куда выходят двери

2 двери выходит в кабинеты директоров, 1 дверь в холл

5

Соседние помещения, название, толщина стен

Холл, два кабинета директоров. Толщина - два кирпича

6

Помещение над потолком, название, толщина перекрытий

Крыша, ж/б перемычка - 200 мм

7

Помещение под полом, название, толщина перекрытий

Конференц - зал, раздевалка и большой холл, ж/б перемычка - 200 мм

8

Вентиляционные отверстия, места размещения, размеры отверстий

1 кондиционер, вентиляционные отверстия выходят на улицу

9

Цепи электропитания

Напряжение, количество розеток электропитания, входящих и выходящих кабелей

5 розеток по 220В

10

Телефон

Типы, места установки телефонных аппаратов, тип кабеля

1-ый телефон внутренний, 2-ой телефон городской, факс

11

Бытовые электроприборы

Вентиляторы и др. места их размещения

Телевизор, видеомагнитофон, электрический чайник

12

ПЭВМ

Кол-во, типы, состав, места размещения

ПК на столе у окна, сканер, принтер, ксерокс

13

Пожарная сигнализация

Типы извещателей схемы соединений и вывода шлейфа

Потолочные датчики, шлейф идет на пункт наблюдения (охраны)

14

Другие средства

2 лампы дневного света

1

Название помещений

Кабинет генерального директора

2

Этаж

2

Площадь, м2

60,5

3

Количество окон, тип сигнализации, наличие штор на окнах

3 больших окна с горизонтальными жалюзи и сигнализацией

Куда выходят окна

Из 1 окна виден Большой парк, из остальных Универмаг № 187 и кинотеатр

4

Двери, кол-во, одинарные, двойные

1 двойная дверь

Куда выходят двери

Дверь выходит в приемную

5

Соседние помещения, название, толщина стен

Юридический отдел, приемная. Толщина - два кирпича

6

Помещение над потолком, название, толщина перекрытий

Крыша, ж/б перемычка - 200 мм

7

Помещение под полом, название, толщина перекрытий

Конференц - зал, ж/б перемычка - 200 мм

8

Вентиляционные отверстия, места размещения, размеры отверстий

1 кондиционер, вентиляционные отверстия выходят на улицу

9

Батареи отопления, типы, куда выходят трубы

Чугунные батареи, трубы спускаются в подвал

10

Цепи электропитания

Напряжение, количество розеток электропитания, входящих и выходящих кабелей

5 розеток по 220В

11

Телефон

Типы, места установки телефонных аппаратов, тип кабеля

1-ый телефон внутренний, 2-ой телефон городской

12

Радиотрансляция

Типы громкоговорителей, места установки

Нет

13

Электрические часы

Куда выходит кабель электрических часов

Нет

14

Бытовые радиосредства

Радиоприемники, телевизоры, аудио и видеомагнитофоны, их кол-во и типы

Нет

15

Бытовые электроприборы

Вентиляторы и др. места их размещения

Телевизор, видеомагнитофон

16

ПЭВМ

Кол-во, типы, состав, места размещения

ПК на столе у окна, принтер

17

Технические средства охраны

Типы и места установки извещателей, зоны действия излучений

Нет

18

Телевизионные средства наблюдения

Места установки, типы и зоны наблюдения телевизионных трубок


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.