Информационная безопасность и её роль на предприятии

Автор работы: Пользователь скрыл имя, 04 Декабря 2009 в 17:25, Не определен

Описание работы

Курсовая работа

Файлы: 1 файл

Информационная безопасность.doc

— 403.00 Кб (Скачать файл)

Утечка - это  бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

С учетом изложенного  остается рассмотреть вопрос, какие  условия способствуют неправомерному овладению конфиденциальной информацией. Указываются следующие условия:

разглашение (излишняя болтливость сотрудников) - 32%;

несанкционированный доступ путем подкупа и склонения  к сотрудничеству со стороны конкурентов  и преступных группировок - 24%;

отсутствие  на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

традиционный  обмен производственным опытом - 12%;

бесконтрольное  использование информационных систем - 10%;

наличие предпосылок  возникновения среди сотрудников  конфликтных ситуаций 8%;

а также отсутствие высокой трудовой дисциплины, психологическая  несовместимость, случайный подбор кадров, слабая работа кадров по сплочению  коллектива.

Среди форм и  методов недобросовестной конкуренции  находят наибольшее распространение:

экономическое подавление, выражающееся в срыве  сделок и иных соглашений (48%),

парализации деятельности фирмы (31%),

компрометации фирмы (11%),

шантаже руководителей  фирмы (10%);

физическое  подавление:

ограбления  и разбойные нападения на офисы, склады, грузы (73%),

угрозы физической расправы над руководителями фирмы  и ведущими специалистами (22%),

убийства  и захват заложников (5%);

информационное  воздействие:

подкуп сотрудников (43%),

копирование информации (24%),

проникновение в базы данных (18%),

продажа конфиденциальных документов (10%),

подслушивание телефонных переговоров и переговоров  в помещениях (5%),

а также ограничение  доступа к информации, дезинформация;

финансовое  подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы.

Государственный стандарт РФ ГОСТ Р 50922 - 96

ГОСТ Р 50922 - 96

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ 

Защита информации

Основные  термины и определения 

Дата введения 1.07.97 г.

1. Область  применения 

2. Общие положения 

3 Стандартизованные  термины и их определения 

3.1 Основные  понятия 

3.2 Организация  защиты информации 

4. Приложение  А (справочное)

1 ОБЛАСТЬ ПРИМЕНЕНИЯ 

Настоящий стандарт устанавливает основные термины и их определения в области защиты информации.

Термины, установленные  настоящим стандартом, обязательны  для применения во всех видах документации и литературы по защите информации.

Настоящий стандарт применяется совместно с ГОСТ РВ 50170-92.

2 ОБЩИЕ ПОЛОЖЕНИЯ

Установленные в стандарте термины расположены  в систематизированном порядке, отражающем систему понятий в  данной области знания.

Для каждого  понятия установлен один стандартизованный  термин.

Заключенная в круглые скобки часть термина  может быть опущена при использовании термина в документах по стандартизации.

Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие  общие терминоэлементы.

Разрешается, при необходимости, уточнять приведенные определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения смысла определения.

Термины и  определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении А.

3 СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ  

Я

3.1 Основные  понятия 

Защищаемая  информация - информация, являющаяся предметом  собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание: Собственником информации может  быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защита информации - защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения  защищаемой информации от ее разглашения, несанкционированного доступа к  защищаемой информации и от получения защищаемой информации [иностранными] разведками.

Защита информации от несанкционированного воздействия - защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных  прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Зашита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Примечание: Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.

Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения  защищаемой информации [иностранной] разведкой с помощью технических средств.

Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.

Цель защиты информации - желаемый результат защиты информации.

Примечание: Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.

Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.

Показатель  эффективности зашиты информации - мера или характеристика для оценки эффективности защиты информации.

Нормы эффективности  защиты информации - значения показателей  эффективности защиты информации, установленные нормативными документами.

3.2 Организация защиты  информации 

Организация защиты информации - содержание и порядок  действий по обеспечению защиты информации.

Система защиты информации - совокупность органов  и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.

Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации.

Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения  защиты информации.

Объект защиты - информация или носитель информации или информационный процесс, в отношении  которых необходимо обеспечивать защиту в соответствии с поставленной целью  защиты информации.

Способ защиты информации - порядок и правила  применения определенных принципов и средств защиты информации.

Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].

Информация о работе Информационная безопасность и её роль на предприятии