Автор работы: Пользователь скрыл имя, 07 Сентября 2015 в 22:04, курсовая работа
Целью исследования является выявление особенностей организации защиты конфиденциальной информации средствами вычислительной техники и путей его совершенствования на современных предприятиях.
Задачами данного исследования являются:
Раскрыть теоретическую сущность организации защиты конфиденциальной информации средствами вычислительной техники
Произвести оценку опыта организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях
Предложить основные направления на совершенствование компании защиты конфиденциальной информации средствами вычислительной техники.
Законодательные акты Российской Федерации не определяют однозначно порядок учета, использования и хранения документов, содержащих информацию, являющуюся коммерческой информацией.
Некоторые федеральные законы имеют в своем тексте ссылки, определяющие порядок и принципы работы с документами, содержащими конфиденциальную информацию, однако эта информация относиться только к определенным видам информации (например, информации, представляющей государственную тайну или тайну следствия).
Такая ситуация объясняется тем, что информация, представляющая коммерческую тайну, в зависимости от субъекта включает в себя самые разные категории информации, доступ к которым может быть ограничен. Соответственно нельзя назвать целесообразной проведение работы по приведению к единым нормам принципы учета, хранения и обработки конфиденциальной информации.
Обсуждаемые выше акты, могут быть оформлены как нормативные документы для конкретных субъектов или объектов и как правило являются обязательными для исполнения.
Документы, регламентирующие работу с носителями конфиденциальной информации, предназначены сугубо для внутреннего использования и имеют определенные ограничения в доступе, часто с ограничительным грифом «Для служебного пользования».
Каждая организация, независимо от размера и формы собственности, которая имеет цель сохранить в неприкосновенности тот или иной вид информации, формализует деятельность своих структурных подразделений и сотрудников, имеющих отношение к этой информации. Как правило, в компании утверждается регламент по созданию конфиденциальных документов (как на бумажной основе, так и на электронных носителях), их учета, хранения, доступа к ним, использования информации ограниченного доступа, снятия ограничения конфиденциальности и уничтожения носителей информации.
Главным правилом работы с документами, содержащими информацию, являющуюся конфиденциальной, является определение категорий информации, подлежащих защите в данной компании. В целях сохранения данной информации организация разрабатывает перечень сведений, которые могут представлять интерес для третьих лиц, и содержатся в документах, образующихся в процессе функционирования данной компании. В данный перечень должны быть включены не только сведения, которые находятся в исходящих документах организации, но и сведения, получаемые организацией из внешних источников, если необходимо обеспечить их конфиденциальность, примером таких сведений могут быть заказные маркетинговые исследования.
Самыми часто встречающимися способами при оформлении документов ограниченного доступа является присвоение им соответствующего «секретного» грифа, например, - «Для служебного пользования» или «Конфиденциально».
Также для внутреннего и внешнего обращения документов, содержащих информацию с ограниченными правами доступа, в компании и ее подразделениях создается особая система учета таких документов. Такая система обычно подразумевает отслеживание документов на всех стадиях их прохождения, начиная с создания и завершая их уничтожением. Система учета может быть традиционной – в виде комплексов журналов учета, либо автоматизированной (на базе вычислительных средств) с реализацией необходимых элементов защиты информации.
Также, необходимым условием является установления порядка проверок выполнения установленных требований в работе с документами ограниченного распространения, включая проверки сохранности документов.
В большинстве организаций негосударственной формы собственности по аналогии с государственными органами устанавливается порядок допуска работников к различным категориям сведений ограниченного распространения. В зависимости от специфики деятельности той или иной компании решение вопросов допуска возлагается на режимное подразделение, подразделение документационного обеспечения или кадровую службу. Однако в любом случае координирующая роль в решении этих вопросов должна быть у режимного подразделения компании, такого как служба безопасности.
Выбор той или иной системы защиты конфиденциальной информации в негосударственных структурах зависит от руководства этих структур, которые, с учетом ценности защищаемой информации, определяют средства и методы охраны указанных сведений, в том числе правила работы с документами. При этом гарантирующим в максимальной степени сохранность информации является порядок работы с документами, близкий или аналогичный тому, который установлен для документов, содержащих сведения, составляющие государственную тайну.
Для организации и осуществления мероприятий по защите информации в любом учреждении, независимо от формы собственности, требуются определенные условия, важнейшими из которых являются наличие регламентирующей базы, квалифицированного персонала подразделения по защите информации и необходимых материально-технических средств.
Таким образом, можно изложить основные законодательные, правовые основы и правила защиты конфиденциальной информации. Однако в современном мире огромное значение имеют схемы защиты конфиденциальной информации при помощи средств вычислительной техники. И при осуществлении такого вида работы необходимо обладать знаниями с области соответствующих стандартов и спецификаций. Одна из причин состоит в том, что необходимость следования некоторым стандартам определена законодательно, а именно криптографическим и руководящим документам Гостехкомиссии России. Стандарты и спецификации это одна из форм накопленных знаний, прежде всего о процедурном и программно- техническом уровне системы информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными компаниями в области разработки программного обеспечения и систем безопасности. Также и те, и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.
Различаются две группы стандартов и спецификаций:
1. Оценочные стандарты, предназначенные для оценки и классификации информационных систем и средств защиты по требованиям безопасности,
2. Спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.
Эти группы дополнят друг друга. Оценочные стандарты описывают важнейшие с точки зрения информационной безопасности понятия, а специализированные стандарты определяют, как именно строить и выполнять организационные требования.
Британский стандарт BS 7799 «Управление информационной безопасностью. Практические правила» практически не претерпев изменений был преобразован в международный стандарт ISO/IEC 17799-2000 «Практические правила управления информационной безопасностью». В этом стандарте сделано обобщение правил по управлению информационной безопасностью. Также они могут быть использованы как критерии оценки механизмов безопасности организационного уровня, в том числе административные, процедурные и физические меры защиты. Практические правила разбиты на 10 разделов:
1. Политика безопасности.
2.Организация защиты.
3. Классификация ресурсов и
4. Безопасность персонала.
5. Физическая безопасность.
6. Администрирование
7. Управление доступом.
8. Разработка и сопровождение информационных систем.
9. планирование и бесперебойная работа организации.
10. Контроль выполнения политики безопасности.
В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях в различных странах.
На более низком уровне в разных странах разработаны сотни отраслевых стандартов, нормативных документов и спецификаций по обеспечению информационной безопасности, которые применяются национальными компаниями при разработке программных средств и обеспечения качества и безопасности их функционирования.
По статистике, первые утечки информации фиксируются в организациях уже во время опытного внедрения системы на ограниченном количестве рабочих станций. При этом пока настройки системы не отточены, возможна высокая доля ложных срабатываний. А часто ли случаются утечки при обычной промышленной эксплуатации системы. Специалисты говорят о том, что инциденты достаточно высокой степени серьезности фиксируются раз в несколько недель. Этот показатель варьируется от отрасли к отрасли и особенно сильно зависит от числа сотрудников, которые имеют доступ к конфиденциальной информации.
Правда, масштаб подобных инцидентов сильно различается. Потенциальный ущерб в 500 тыс. руб. может быть незначительным для компании с оборотом в сотни миллионов долларов, но критичным для бизнеса небольшой организации. Формальный признак серьезного инцидента — тот, о котором докладывают руководству. При этом степень вовлеченности руководства компаний в дела информационной безопасности сильно различается. Отдельный опрос генеральных директоров показал, что менее 50% из них получают отчеты подразделения по защите информации.
Основная деятельность ООО «Ресурс» заключается в организации торговли строительно-отделочными материалами для удовлетворения потребностей оптовых покупателей (профессиональных строителей). Ассортимент, включающий все основные товарные направления, необходимые для комплектации строящихся объектов и выполнения строительно-отделочных работ «под ключ» и представленность товаров всех ценовых групп, позволяют любому строителю сделать выбор и приобрести нужный товар.
Информация о работе Организация защиты конфиденциальной информации СВТ