Организация защиты конфиденциальной информации СВТ

ОГЛАВЛЕНИЕ

 

 

 

 

 

 

 

 

Введение

 

В данной курсовой работе мы подробно рассмотрим проблему защиты информации средствами вычислительной техники, причины возникновения данной темы, законодательные и правовые аспекты и пути решения.

Данная проблема особенно актуальна в наши дни, когда информация является чуть ли на самым ценным товаром в мире. Сама проблема защиты информации от несанкционированного доступа и внешних воздействий на нее возникла тогда, когда индивиду по каким-либо причинам не хотелось, чтобы аналогичной информацией владел другой индивид. С развитием общества, появлением государства, частной собственности, борьбой за власть, развитием промышленного производства и технологий и дальнейшим расширением масштабов человеческой деятельности информация начала приобретать цену. Нужной стала та информация, обладание которой позволяло человеку, который ей владел получить какой-либо бонус: материальный или политический. Поэтому такое широкое распространение в мире получили компании и отдельные индивиды, занимающиеся так называемой «добычей» информации. Шпионские скандалы преследуют человечество уже не один век. В ответ на сложившуюся тенденцию возникла необходимость защищать информацию, как на уровне частного лица, так и на уровне государства.

Теоретической базой для исследования послужили труды наших и зарубежных учёных: В.А. Герасименко, С.Н. Гриняева, В.И. Аникина, Б. Гейтса, У.С. Бека, А. Тоффлера.

Целью исследования является выявление особенностей организации защиты конфиденциальной информации средствами вычислительной техники и путей его совершенствования на современных предприятиях.

Задачами данного исследования являются:

1. Раскрыть теоретическую сущность организации защиты конфиденциальной информации средствами вычислительной техники
2. Произвести оценку опыта организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях
3. Предложить основные направления на совершенствование компании защиты конфиденциальной информации средствами вычислительной техники.

Объектом исследования в данной курсовой работе является организация защиты конфиденциальной информации в современным условиях.

Предметом исследования данной курсовой работы является организация защиты информации средствами вычислительной техники на реально действующем предприятии. В качестве предприятия взято ООО «Ресурс».

Методами исследования являются: анализ, синтез и наблюдение.

Информационной базой при написания данной курсовой работы послужили информационные ресурсы Интернет-порталов, руководящие документы, сведения из книг, законодательные акты и нормативные документы.

 

 

 

 

 

 

 

 

 

 

 

1. ТЕОРИТИЧЕСКИЕ И ЗАКОНОДАТЕЛЬНЫЕ ОСНОВЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

 

1.1 Теоретическая сущность организации защиты конфиденциальной информации средствами вычислительной техники

 

Под системой обработки и хранения конфиденциальной информации (документов) с использованием средств вычислительной техники понимается комплекс мероприятий, включающий в себя организационные, технологические и иные процедуры и операции, предназначенные для обеспечения сохранности и целостности информации компании.

Порядок обработки и хранения документов открытого доступа и документов, имеющих ту или иную категорию секретности, основывается на единой научной и методической основе, призванной решать задачи обеспечения необходимой информацией организационные и управленческие процессы деятельности компании. В то же время система обработки и хранения конфиденциальных документов при помощи вычислительной техники решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

В зависимости от масштаба деятельности компании методы и средства обеспечения информационной безопасности могут различаться. Но любой грамотный руководитель компании или IT-специалист скажет, что любая проблема в области информационной безопасности не решается односторонне. К решению данной проблемы всегда требуется комплексный, интегральный подход. В настоящее время в российском бизнесе многие руководители государственных компаний и высшие менеджеры считают, что все проблемы в сфере информационной безопасности можно решить, не прилагая особых организационных, технических и финансовых усилий.  Однако практика показывает, что такое мнение является в корне ошибочным.

Иногда со стороны людей, которые позиционируют себя как в качестве IT-специалистов, приходится слышать высказывания: «Проблемы информационной безопасности в нашей компании мы уже решили - установили межсетевой экран и купили лицензию на средства антивирусной защиты». Такой подход демонстрирует, что существование проблемы уже признается на уровне руководителей компаний различных размеров и форм собственности, но сильно недооценивается масштаб и срочность необходимых мероприятий по ее решению. В тех компаниях, где руководители и специалисты всерьез задумались над тем, как обезопасить свой бизнес и избежать финансовых потерь, признано, что одними локальными мерами или «подручными» средствами уже не обойтись, а нужно применять именно комплексный подход.

Под информационной безопасностью понимается такое состояние условий функционирования человека, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз входе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Исходя из приведенного выше определения информационной безопасности, можно выделить следующие ее составляющие:

1. Физическая безопасность  представляет собой защиту зданий, помещений, подвижных средств, людей, а также аппаратных средств – компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры;

2. Безопасность сетей  и телекоммуникационных устройств (защита каналов связи и воздействий  любого рода);

3. Безопасность программного обеспечения (защита от вирусов, логических бомб, несанкционированного изменения конфигураций и программных кодов);

4. Безопасность данных (обеспечение конфиденциальности, целостности и доступности данных).

Задача обеспечения информационной безопасности появилась вместе с проблемой передачи и хранения информации. На современном этапе можно выделить три подхода к ее решению:

1. Частный – основывается  на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как он не требует больших финансовых и интеллектуальных затрат;

2. Комплексный – реализуется  решением совокупности задач  по единой программе. Этот подход  в настоящее время применяется  наиболее часто;

3. Интегральный – основан  на объединении различных вычислительных  подсистем работы с информацией, систем связи, подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных. Этот подход, по мнению специалистов, будет использоваться в ближайшем будущем.

Третий подход направлен на достижение интегральной информационной безопасности, что предполагает обязательную непрерывность процесса обеспечения безопасности как во времени, так и в пространстве с обязательным учетом всех возможных угроз (несанкционированный доступ, копирование информации, стихийные бедствия и т.д.). В какой бы форме не применялся данный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи разграничения доступа к информации, ее технического и криптографического «закрытия», технической и физической безопасности объектов, охраны и оснащения их тревожной сигнализацией.

По оценкам специалистов, современный этап информатизации общества переживает эффект технологической зрелости средств защиты информации, ориентированных на детерминированные классы угроз информационной безопасности. С учетом непрерывного роста сложности IT-структур и соответствующих требований к специализациям сотрудников служб безопасности (в условиях современного информационного противоборства) становится ясно, что обеспечение безопасности информационных ресурсов возможно не путем доработки отдельных систем защиты информации, а через создание механизмов их взаимодействия.

Поэтому не удивительно, что за последние годы со стороны корпоративного и промышленного секторов сильно вырос интерес к консолидации систем защиты информации путем внедрения, так называемых систем управления событиями и информацией по безопасности (SIEM-систем, Security Information and Event Management).

Концепция информационной безопасности должна включать в себя ряд законодательных инициатив, научных, технологических и технических решений, готовность государственных организаций и компаний их для того, чтобы люди, используя устройства на базе компьютеров и программного обеспечения, чувствовали себя комфортно и безопасно. В таблице 1 приведена трехуровневая модель защищенности (безопасности) информации.

Таблица 1 – Трехуровневая модель защищенности информации.

Система целей	Средства	Исполнение
1	2	3
Общая цель: Обеспечение надежной защиты информации Частные цели: Безопасность Безотказность Деловое взаимодействие	Установки: Защищенность Конфиденциальность Целостность Готовность к работе Точность Управляемость Безотказность Прозрачность Удобство пользования Подтверждения: Внутренняя оценка Аккредитация Внешний аудит	Обеспечение: Законы и нормы Характер ведения бизнеса Контракты, обязательства Внутренние принципы Международные, отраслевые и внутренние стандарты Реализация: Методы взаимодействия с внешней и внутренней средой Методы работ Анализ рисков Методы разработки, внедрения, эксплуатации и сопровождения обучение

 

Согласно Оранжевой книге, надежная информационная система описывается как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную достоверную обработку информации, разной степени секретности различными пользователями или группами пользователей без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживая свою работоспособность в условиях воздействия на нее совокупности внешних и внутренних угроз» [6].

Это качественное определение достаточное условие безопасности. При этом не обуславливается, какие механизмы и каким образом реализуют безопасность, ведь практическая безопасность зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени ее разветвленности и точности, топологии сетей, используемого программного обеспечения.

В общем случае можно говорить о надежной защите конфиденциальной информации в двух аспектах:

1. Наличие и полнота  политики безопасности,

2. Гарантированность безопасности.

Рассмотрим каждый аспект более подробно.

Под наличием и полнотой политики безопасности понимается набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации. Такие стандарты и правила определяют, в каких случаях и каким образом конкретный пользователь может оперировать конкретными наборами данных. В данном документе или документах должны быть сформулированы права и ответственность пользователей и персонала отделов информационной безопасности, позволяющие выбрать наиболее эффективные механизмы защиты информации.

Политика безопасности — это активный компонент защиты, включающий в себя анализ возможных угроз и рисков, выбор мер противодействия и методологию их применения.

Под гарантированностью безопасности понимается мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам ее управления. Гарантированность может проистекать как из тестирования и верификации, так и из проверки общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты.

Среди направлений защиты информации выделяют несколько основных, которые наиболее актуальны с точки зрения частоты их возникновения, а именно: защита информации от несанкционированного доступа, защита информации при осуществлении ее обработки по внутренним каналам, защита информации при передаче ее по каналам связи.