ОГЛАВЛЕНИЕ
Введение
В данной курсовой работе мы подробно
рассмотрим проблему защиты информации
средствами вычислительной техники, причины
возникновения данной темы, законодательные
и правовые аспекты и пути решения.
Данная проблема особенно актуальна
в наши дни, когда информация является
чуть ли на самым ценным товаром в мире.
Сама проблема защиты информации от несанкционированного
доступа и внешних воздействий на нее
возникла тогда, когда индивиду по каким-либо
причинам не хотелось, чтобы аналогичной
информацией владел другой индивид. С
развитием общества, появлением государства,
частной собственности, борьбой за власть,
развитием промышленного производства
и технологий и дальнейшим расширением
масштабов человеческой деятельности
информация начала приобретать цену. Нужной
стала та информация, обладание которой
позволяло человеку, который ей владел
получить какой-либо бонус: материальный
или политический. Поэтому такое широкое
распространение в мире получили компании
и отдельные индивиды, занимающиеся так
называемой «добычей» информации. Шпионские
скандалы преследуют человечество уже
не один век. В ответ на сложившуюся тенденцию
возникла необходимость защищать информацию,
как на уровне частного лица, так и на уровне
государства.
Теоретической базой для исследования
послужили труды наших и зарубежных учёных:
В.А. Герасименко, С.Н. Гриняева, В.И. Аникина,
Б. Гейтса, У.С. Бека, А. Тоффлера.
Целью исследования является
выявление особенностей организации защиты
конфиденциальной информации средствами
вычислительной техники и путей его совершенствования
на современных предприятиях.
Задачами данного исследования
являются:
- Раскрыть теоретическую сущность организации защиты конфиденциальной информации
средствами вычислительной техники
- Произвести оценку опыта организации защиты конфиденциальной информации
средствами вычислительной техники в
современных условиях
- Предложить основные направления на совершенствование
компании защиты конфиденциальной информации
средствами вычислительной техники.
Объектом исследования в данной
курсовой работе является организация
защиты конфиденциальной информации в
современным условиях.
Предметом исследования данной
курсовой работы является организация
защиты информации средствами вычислительной
техники на реально действующем предприятии.
В качестве предприятия взято ООО «Ресурс».
Методами исследования являются:
анализ, синтез и наблюдение.
Информационной базой при написания
данной курсовой работы послужили информационные
ресурсы Интернет-порталов, руководящие
документы, сведения из книг, законодательные
акты и нормативные документы.
ТЕОРИТИЧЕСКИЕ И ЗАКОНОДАТЕЛЬНЫЕ
ОСНОВЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
1.1 Теоретическая сущность
организации защиты конфиденциальной
информации средствами вычислительной
техники
Под системой обработки и хранения конфиденциальной
информации (документов) с использованием
средств вычислительной техники понимается
комплекс мероприятий, включающий в себя
организационные, технологические и иные
процедуры и операции, предназначенные
для обеспечения сохранности и целостности
информации компании.
Порядок обработки и хранения документов
открытого доступа и документов, имеющих
ту или иную категорию секретности, основывается
на единой научной и методической основе,
призванной решать задачи обеспечения
необходимой информацией организационные
и управленческие процессы деятельности
компании. В то же время система обработки
и хранения конфиденциальных документов
при помощи вычислительной техники решает
и другую не менее важную задачу - обеспечение
защиты носителей информации и самой информации
от потенциальных и реальных угроз их
безопасности.
В зависимости от масштаба деятельности
компании методы и средства обеспечения
информационной безопасности могут различаться.
Но любой грамотный руководитель компании
или IT-специалист скажет, что любая проблема
в области информационной безопасности
не решается односторонне. К решению данной
проблемы всегда требуется комплексный,
интегральный подход. В настоящее время
в российском бизнесе многие руководители
государственных компаний и высшие менеджеры
считают, что все проблемы в сфере информационной
безопасности можно решить, не прилагая
особых организационных, технических
и финансовых усилий. Однако практика
показывает, что такое мнение является
в корне ошибочным.
Иногда со стороны людей, которые
позиционируют себя как в качестве IT-специалистов,
приходится слышать высказывания: «Проблемы
информационной безопасности в нашей
компании мы уже решили - установили межсетевой
экран и купили лицензию на средства антивирусной
защиты». Такой подход демонстрирует,
что существование проблемы уже признается
на уровне руководителей компаний различных
размеров и форм собственности, но сильно
недооценивается масштаб и срочность
необходимых мероприятий по ее решению.
В тех компаниях, где руководители и специалисты
всерьез задумались над тем, как обезопасить
свой бизнес и избежать финансовых потерь,
признано, что одними локальными мерами
или «подручными» средствами уже не обойтись,
а нужно применять именно комплексный
подход.
Под информационной безопасностью
понимается такое состояние условий функционирования
человека, объектов, технических средств
и систем, при котором они надежно защищены
от всех возможных видов угроз входе непрерывного
процесса подготовки, хранения, передачи
и обработки информации.
Исходя из приведенного выше
определения информационной безопасности,
можно выделить следующие ее составляющие:
1. Физическая безопасность
представляет собой защиту зданий, помещений,
подвижных средств, людей, а также аппаратных
средств – компьютеров, носителей информации,
сетевого оборудования, кабельного хозяйства,
поддерживающей инфраструктуры;
2. Безопасность сетей
и телекоммуникационных устройств
(защита каналов связи и воздействий
любого рода);
3. Безопасность программного
обеспечения (защита от вирусов, логических
бомб, несанкционированного изменения
конфигураций и программных кодов);
4. Безопасность данных (обеспечение
конфиденциальности, целостности и доступности
данных).
Задача обеспечения информационной
безопасности появилась вместе с проблемой
передачи и хранения информации. На современном
этапе можно выделить три подхода к ее
решению:
1. Частный – основывается
на решении частных задач обеспечения
информационной безопасности. Этот подход
является малоэффективным, но достаточно
часто используется, так как он не
требует больших финансовых и интеллектуальных
затрат;
2. Комплексный – реализуется
решением совокупности задач
по единой программе. Этот подход
в настоящее время применяется
наиболее часто;
3. Интегральный – основан
на объединении различных вычислительных
подсистем работы с информацией,
систем связи, подсистем обеспечения
безопасности в единую информационную
систему с общими техническими средствами,
каналами связи, программным обеспечением
и базами данных. Этот подход, по мнению
специалистов, будет использоваться в
ближайшем будущем.
Третий подход направлен на
достижение интегральной информационной
безопасности, что предполагает обязательную
непрерывность процесса обеспечения безопасности
как во времени, так и в пространстве с
обязательным учетом всех возможных угроз
(несанкционированный доступ, копирование
информации, стихийные бедствия и т.д.).
В какой бы форме не применялся данный
подход, он связан с решением ряда сложных
разноплановых частных задач в их тесной
взаимосвязи. Наиболее очевидными из них
являются задачи разграничения доступа
к информации, ее технического и криптографического
«закрытия», технической и физической
безопасности объектов, охраны и оснащения
их тревожной сигнализацией.
По оценкам специалистов, современный
этап информатизации общества переживает
эффект технологической зрелости средств
защиты информации, ориентированных на детерминированные
классы угроз информационной безопасности.
С учетом непрерывного роста сложности
IT-структур и соответствующих требований
к специализациям сотрудников служб безопасности
(в условиях современного информационного
противоборства) становится ясно, что
обеспечение безопасности информационных
ресурсов возможно не путем доработки
отдельных систем защиты информации, а через
создание механизмов их взаимодействия.
Поэтому не удивительно, что за последние
годы со стороны корпоративного и промышленного
секторов сильно вырос интерес к консолидации
систем защиты информации путем внедрения,
так называемых систем управления событиями
и информацией по безопасности (SIEM-систем,
Security Information and Event Management).
Концепция информационной безопасности
должна включать в себя ряд законодательных
инициатив, научных, технологических и
технических решений, готовность государственных
организаций и компаний их для того, чтобы
люди, используя устройства на базе компьютеров
и программного обеспечения, чувствовали
себя комфортно и безопасно. В таблице
1 приведена трехуровневая модель защищенности
(безопасности) информации.
Таблица 1 – Трехуровневая модель
защищенности информации.
Система целей |
Средства |
Исполнение |
1 |
2 |
3 |
Общая цель:
Обеспечение надежной защиты
информации
Частные цели:
- Безопасность
- Безотказность
- Деловое взаимодействие
|
Установки:
- Защищенность
- Конфиденциальность
- Целостность
- Готовность к работе
- Точность
- Управляемость
- Безотказность
- Прозрачность
- Удобство пользования
Подтверждения:
- Внутренняя оценка
- Аккредитация
- Внешний аудит
|
Обеспечение:
- Законы и нормы
- Характер ведения бизнеса
- Контракты, обязательства
- Внутренние принципы
- Международные, отраслевые
и внутренние стандарты
Реализация:
- Методы взаимодействия с внешней
и внутренней средой
- Методы работ
- Анализ рисков
- Методы разработки, внедрения,
эксплуатации и сопровождения
- обучение
|
Согласно Оранжевой книге, надежная
информационная система описывается как
«система, использующая достаточные аппаратные
и программные средства, чтобы обеспечить
одновременную достоверную обработку
информации, разной степени секретности
различными пользователями или группами
пользователей без нарушения прав доступа,
целостности и конфиденциальности данных
и информации, и поддерживая свою работоспособность
в условиях воздействия на нее совокупности
внешних и внутренних угроз» [6].
Это качественное определение
достаточное условие безопасности. При
этом не обуславливается, какие механизмы
и каким образом реализуют безопасность,
ведь практическая безопасность зависит
от многих факторов: вида и размера бизнеса,
предметной области деятельности компании,
типа информационной системы, степени
ее разветвленности и точности, топологии
сетей, используемого программного обеспечения.
В общем случае можно говорить
о надежной защите конфиденциальной информации
в двух аспектах:
1. Наличие и полнота
политики безопасности,
2. Гарантированность безопасности.
Рассмотрим каждый аспект более
подробно.
Под наличием и полнотой политики
безопасности понимается набор внешних
и корпоративных стандартов, правил и
норм поведения, отвечающих законодательным
актам страны и регламентирующих сбор,
обработку, распространение и защиту информации.
Такие стандарты и правила определяют,
в каких случаях и каким образом конкретный
пользователь может оперировать конкретными
наборами данных. В данном документе или
документах должны быть сформулированы
права и ответственность пользователей
и персонала отделов информационной безопасности,
позволяющие выбрать наиболее эффективные
механизмы защиты информации.
Политика безопасности — это
активный компонент защиты, включающий
в себя анализ возможных угроз и рисков,
выбор мер противодействия и методологию
их применения.
Под гарантированностью безопасности
понимается мера доверия, которая может
быть оказана архитектуре, инфраструктуре,
программно-аппаратной реализации системы
и методам ее управления. Гарантированность
может проистекать как из тестирования
и верификации, так и из проверки общего
замысла и исполнения системы в целом
и ее компонентов. Гарантированность показывает,
насколько корректны механизмы, отвечающие
за проведение в жизнь политики безопасности.
Гарантированность является пассивным,
но очень важным компонентом защиты.
Среди направлений защиты информации
выделяют несколько основных, которые
наиболее актуальны с точки зрения частоты
их возникновения, а именно: защита информации
от несанкционированного доступа, защита
информации при осуществлении ее обработки
по внутренним каналам, защита информации
при передаче ее по каналам связи.