Защита секретной информации

      МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ

      РОССИЙСКОЙ  ФЕДЕРАЦИИ

      ФЕДЕРАЛЬНОЕ АГЕНСТВО ПО ОБРАЗОВАНИЮ  ГОСУДАРСТВЕННОЕ  ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

      ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ                                                                             «СЕВЕРО-КАВКАЗСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ

      УНИВЕРСИТЕТ» 
 

      КАФЕДРА ЛИНГИСТИКИ И МЕЖКУЛЬТУРНОЙ КОММУНИКАЦИИ 
 

      РЕФЕРАТ

      По  дисциплине: «Организация информационной безопасности»

      на  тему: «Обеспечение защиты секретной информации» 
 
 

      Выполнил:                                                                                                                   студент

      гр. СТ – 071

      Ерёмина Н.Ю.

      Научный руководитель:

      Доцент кафедры

       Кудряшов О.А. 
 
 

Ставрополь, 2011 

      Содержание

 

 

Введение

       Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

     Проблема  защиты секретной информации: надежное обеспечение ее сохранности и установление статуса использования  - является одной из важнейших проблем современности.

     Еще 25-30 лет назад задача защиты информации могла быть эффективно решена  с помощью организационных мер и отдельных программно - аппаратах средств разграничения доступа и шифрования. Появление персональных ЭВМ, локальных и глобальных сетей, спутниковых каналов связи, эффективных технической разведки и конфиденциальной информации существенно обострило проблему защиты информации.

      Объектом реферата является секретная информация, предметом – способы защиты секретной информации. Целью данного реферата является исследование  способов защиты секретной информации. Для достижения поставленной цели необходимо решение следующих задач: рассмотреть меры информационной безопасности,  изучить уровни защиты информации, ознакомиться с методами и средствами защиты секретной информации.  

     1 Меры информационной безопасности

       По  способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:

• правовые (законодательные);
• морально-этические;
• технологические;
• организационные (административные и процедурные);
• физические;
• технические (аппаратурные и программные).

       1 Правовые 

       К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.

       2 Морально-этические

       К морально-этическим мерам защиты относятся нормы поведения, которые  традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.

       3 Технологические

       К данному виду мер защиты относятся  разного рода технологические решения  и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.

       4 Организационные

       Организационные меры зашиты - это меры административного  и процедурного характера, регламентирующие процессы функционирования системы  обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

       Обеспечение информационной безопасности организации предполагает реализацию комплекса организационных мер в составе программы экономической безопасности. Организационная составляющая информационной безопасности имеет следующие особенности:

       -реализуется  в рамках функций, возложенных,  как правило, на службу безопасности или контролируемых этой службой;

       -отличается  низкой ресурсоемкостью, т.к. затраты  на организационные мероприятия  несопоставимы с затратами на  приобретение и обслуживание технических средств;

       -высокой  мобильностью, т.е. возможностью  быстрой реализации.

       Все это выводит организационные  меры обеспечения информационной безопасности на первый план как высокорентабельные. В числе таких мер следует назвать:

       - дробление, распределение информации  между сотрудниками;

       - ведение учета ознакомления сотрудников  с особо важной информацией;

       - распространение информации только  через контролируемые каналы;

       - назначение лиц, ответственных  за контроль документации;

       - обязательное уничтожение неиспользованных копий документов и записей;

       - четкое определение коммерческой  тайны для персонала;

       - составление, регулярная оценка  и обновление перечня информации, представляющей коммерческую тайну;

       - включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции;

       - включение положений о неразглашении  тайны в соглашения и договора  с партнерами;

       - дополнительную проверку компетентности  работников при найме;

       - обязательное предварительное профессиональное обучение;

       Особо стоит выделить меры, повышающие безопасность работы с информационными технологиями. Здесь необходим комплексный системный подход, который включает следующие блоки мероприятий:

       - Ранжирование

       Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользователь, пользователь, продвинутый пользователь, специалист. Начинающий пользователь: умение совершать элементарные действия, разбираться во всех базовых операциях. Пользователь: уверенное владение программным обеспечением общего назначения (Word, Excel и т.д.). Продвинутый пользователь: способность реализовать все возможности информационных технологий на своем участке работы. Специалист: способность определить, какое программное обеспечение оптимально решит его задачи, самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в программу инструментов.

       Оценка  квалификации пользователя может проводиться  по четырем уровням квалификации:

       - нулевой уровень – отсутствие навыков данной группы;

       - базовый уровень – умение выполнять  элементарные пользовательские  операции по инструкции;

       - продвинутый уровень – умение  самостоятельно находить решения  практически всех пользовательских  и некоторых специальных задач;

       - специальный уровень – уровень  знаний специалиста, профессионально  занимающегося технической поддержкой  информационных технологий в  организации.

       - Сертификация

       В США наличие сертификата пользователя – обязательное условие. Например, корпорация Microsoft проводит сертификацию по 300 различным программам. Из них около 200 сертификатов специалистов по информационным технологиям.

       - Превентивное обучение

       Повышение квалификации пользователя связано  с психологическими особенностями  профессиональной жизни. Пользователь демонстрирует один из двух стилей трудового поведения: адаптационный (начинающий пользователь) и саморазвивающийся (профессионал). Чем старше пользователь, тем больше у него стремление перейти к адаптационному типу работы с ПК. Систематическое повышение квалификации может сгладить этот процесс, но качественных изменений добиться чрезвычайно сложно. При этом управление квалификацией пользователей можно построить по следующему алгоритму:

       - составление квалификационных требований (сертификат пользователя, определенный уровень квалификации или перечисление требуемых навыков) и отражение их в должностной инструкции;

       - подбор персонала. Анализ резюме  на предмет соответствия требованиям.  Приглашение соискателей для  профотбора: интервью, анкетирование, испытания;

       - испытательный срок. Установление  критериев прохождения испытательного  срока. Например, время освоения  программного продукта или степень  самостоятельности решения профессиональных  задач;

       - аттестация пользователей. Предметом  оценки является эффективность использования информационных технологий для решения профессиональных задач. Можно реализовать в форме интервью, наблюдения, анализа протоколов, анкеты, тестовых заданий;

       - повышение квалификации. Обеспечение доступа к документации, к программам, к специальной литературе, организация обмена опытом между пользователями, специальные курсы;

       4 Меры физической защиты

       Физические  меры защиты основаны на применении разного  рода механических, электро-или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.).