| Предмет |
|
 |
|
Архивоведение [5]
курсовые по архивоведению, дипломы по архивоведению, контрольные по архивоведению
|
|
Анатомия и биология [102]
курсовые по анатомии и биологии, дипломы по анатомии и биологии, контрольные по анатомии и биологии
|
|
Английский язык [50]
курсовые по английскому, дипломы по английскому, контрольные по английскому
|
|
Аудит [184]
курсовые по аудиту, дипломы по аудиту, контрольные по аудиту
|
|
Банковское дело [170]
курсовые по банковскому делу, дипломы по банковскому делу, контрольные по банковскому делу
|
|
Бухгалтерский учет [814]
курсовые по бухгалтерскому учету, дипломы по бухгалтерскому учету, контрольные по бухгалтерскому учету
|
|
БЖД [50]
курсовые по БЖД, дипломы по БЖД, контрольные по БЖД
|
|
ВЭД [43]
рефераты по ВЭД, курсовые по ВЭД, дипломы по ВЭД
|
|
Биотехнология [1]
курсовые по биотехнологии, дипломы по биотехнологии, контрольные по биотехнологии
|
|
Ветеринария [0]
курсовые по ветеринарии, дипломы по ветеринарии, контрольные по ветеринарии
|
|
Геодезия [14]
курсовые по геодезии, дипломы по геодезии, контрольные по геодезии
|
|
Городской транспорт [5]
курсовые по городскому транспорту, дипломы по городскому транспорту, контрольные по городскому транспорту
|
|
Государственная служба [36]
курсовые по государственной службе, дипломы по государственной службе, контрольные по государственной службе
|
|
Деловодство [18]
курсовые по деловодству, дипломы по деловодству, контрольные по деловодству
|
|
Деньги и кредит [82]
курсовые по деньги и кредит, дипломы по деньги и кредит, контрольные по деньги и кредит
|
|
Деревообработка [1]
курсовые по деревообработке, дипломы по деревообработке, контрольные по деревообработке
|
|
Демография [2]
курсовые по демографии, дипломы по демографии, контрольные по демографии
|
|
Детали машин и механизмов [7]
курсовые по деталям и механизмам, дипломы по деталям и механизмам, контрольные по деталям и механизмам
|
|
Дипломатия [13]
курсовые по дипломатии, дипломы по дипломатии, контрольные по дипломатии
|
|
Документоведение [95]
курсовые по документоведению, дипломы по документоведению, контрольные по документоведению
|
|
ДУМ [1]
курсовые по ДУМу, дипломы по ДУМу, контрольные по ДУМу
|
|
Зарубежная литература [40]
курсовые по зарубежной литературе, дипломы по зарубежной литературе, контрольные по зарубежной литературе
|
|
Зоотехния [1]
курсовые по зоотехнии, дипломы по зоотехнии, контрольные по зоотехнии
|
|
Журналистика, СМИ [13]
курсовые по журналистике, дипломы по журналистике, контрольные по журналистике
|
|
Инвестирование [39]
курсовые по инвестированию, дипломы по зарубежной инвестированию, контрольные по инвестированию
|
|
Инженерная механика [3]
курсовые по инженерной механике, дипломы по инженерной механике, контрольные по инженерной механике
|
|
Информатика [87]
курсовые по информатике, дипломы по информатике, контрольные по информатике
|
|
История [89]
курсовые по истории, дипломы по истории, контрольные по истории
|
|
История Украины [103]
курсовые по истории Украины, дипломы по истории Украины, контрольные по истории Украины
|
|
Контроль и ревизия [56]
курсовые по ревизии и контролю, дипломы по ревизии и контролю, контрольные по ревизии и контролю
|
|
Культурология [73]
курсовые по культурологии, дипломы по культурологии, контрольные по культурологии
|
|
Латынь [3]
курсовые по латыни, дипломы по латыни, контрольные по латыни
|
|
Лексикология [6]
курсовые по лексикологии, дипломы по лексикологии, контрольные по лексикологии
|
|
Лингвистика [22]
курсовые по лингвистике, дипломы по лингвистике, контрольные по лингвистике
|
|
Логика [13]
курсовые по логике, дипломы по логике, контрольные по логике
|
|
Логистика [28]
курсовые по логистике, дипломы по логистике, контрольные по логистике
|
|
Макроэкономика [65]
курсовые по макроэкономике, дипломы по макроэкономике, контрольные по макроэкономике
|
|
Маркетинг [240]
курсовые по маркетингу, дипломы по маркетингу, контрольные по маркетингу
|
|
Математика (ВМ) [26]
курсовые по высшей математике, дипломы по высшей математике, контрольные по высшей математике
|
|
Международные отношения [93]
курсовые по международным отношениям, дипломы по международным отношениям, контрольные по международным отношениям
|
|
Механика грунтов [0]
курсовые по механике грунтов, дипломы по механике грунтов, контрольные по механике грунтов
|
|
Менеджмент [464]
курсовые по менеджменту, дипломы по менеджменту, контрольные по менеджменту
|
|
Металлические конструкции [6]
курсовые по металлическим конструкциям, дипломы по металлическим конструкциям, контрольные по металлическим конструкциям
|
|
Метрология [2]
курсовые по метрологии, дипломы по метрологии, контрольные по метрологии
|
|
Микробиология [1]
курсовые по микробиологии, дипломы по микробиологии, контрольные по микробиологии
|
|
Микроэкономика [113]
курсовые по микроэкономике, дипломы по микроэкономике, контрольные по микроэкономике
|
|
Налоговая система [102]
курсовые по налоговой системе, дипломы по налоговой системе, контрольные по налоговой системе
|
|
Организация и управление ресторанным бизнесом [26]
курсовые по ресторанному бизнесу, дипломы по ресторанному бизнесу, контрольные по ресторанному бизнесу
|
|
Организация труда [17]
курсовые по организации труда, дипломы по организации труда, контрольные по организации труда
|
|
Охрана труда [24]
курсовые по охране труда, дипломы по охране труда, контрольные по охране труда
|
|
Педагогика [398]
курсовые по педагогике, дипломы по педагогике, контрольные по педагогике
|
|
Полиграфия [4]
курсовые по полиграфии, дипломы по полиграфии, контрольные по полиграфии
|
|
Политология [126]
курсовые по политологии, дипломы по политологии, контрольные по политологии
|
|
Политэкономия [21]
курсовые по политэкономии, дипломы по политэкономии, контрольные по политэкономии
|
|
Право [2636]
курсовые по праву, дипломы по праву, контрольные по праву
|
|
Психология [417]
курсовые по психологии, дипломы по психологии, контрольные по психологии
|
|
Проектирование [10]
курсовые по проектированию, дипломы по проектированию, контрольные по проектированию
|
|
Религия [17]
курсовые по религии, дипломы по религии, контрольные по религии
|
|
РПС [31]
курсовые по размещению продуктивных сил, дипломы по размещению продуктивных сил, контрольные по размещению продуктивных сил
|
|
Статистика [237]
курсовые по статистике, дипломы по статистике, контрольные по статистике
|
|
Стоматология [2]
курсовые по стоматологии, дипломы по стоматологии, контрольные по стоматологии
|
|
Страхование [47]
курсовые по страхованию, дипломы по страхованию, контрольные по страхованию
|
|
Социология [229]
курсовые по социологии, дипломы по социологии, контрольные по социологии
|
|
Теория вероятности [8]
курсовые по теории вероятности, дипломы по теории вероятности, контрольные по теории вероятности
|
|
Технология приготовления пищи [108]
курсовые по технологии приготовления пищи, дипломы по технологии приготовления пищи, контрольные по технологии приготовления пищи
|
|
Товароведение [48]
курсовые по товароведению, дипломы по товароведению, контрольные по товароведению
|
|
ТО и ремонт автомобилей [10]
курсовые по ТО и ремонту автомобилей, дипломы по ТО и ремонту автомобилей, контрольные по ТО и ремонту автомобилей
|
|
Туризм [146]
курсовые по туризму, дипломы по туризму, контрольные по туризму
|
|
Украинская литература [28]
курсовые по украинской литературе, дипломы по украинской литературе, контрольные по украинской литературе
|
|
Украинский язык [46]
курсовые по украинскому языку, дипломы по украинскому языку, контрольные по украинскому языку
|
|
Управление персоналом [56]
курсовые по управлению персоналом, дипломы по управлению персоналом, контрольные по управлению персоналом
|
|
Управление проектами [7]
курсовые по управлению проектами, дипломы по управлению проектами, контрольные по управлению проектами
|
|
Управленческий учет [69]
курсовые по управленческому учету, дипломы по управленческому учету, контрольные по управленческому учету
|
|
Физвоспитание [43]
курсовые по физвоспитанию, дипломы по физвоспитанию, контрольные по физвоспитанию
|
|
Физика [11]
курсовые по физике, дипломы по физике, контрольные по физике
|
|
Филология [67]
курсовые по филологии, дипломы по филологии, контрольные по филологии
|
|
Философия [71]
курсовые по философии, дипломы по философии, контрольные по философии
|
|
Финансы [720]
курсовые по финансам, дипломы по финансам, контрольные по финансам
|
|
Химия [10]
курсовые по химии, дипломы по химии, контрольные по химии
|
|
Ценообразование [11]
курсовые по ценообразованию, дипломы по ценообразованию, контрольные по ценообразованию
|
|
Экология [48]
курсовые по экологии, дипломы по экологии, контрольные по экологии
|
|
Эконометрия [12]
курсовые по эконометрии, дипломы по эконометрии, контрольные по эконометрии
|
|
Экономика [894]
курсовые по экономике, дипломы по экономике, контрольные по экономике
|
|
Экономика предприятий [713]
курсовые по экономике предприятий, дипломы по экономике предприятий, контрольные по экономике предприятий
|
|
Этика и эстетика [28]
курсовые по этике и эстетике, дипломы по этике и эстетике, контрольные по этике и эстетике
|
|
Энергетика [0]
курсовые по энергетике, дипломы по энергетике, контрольные по энергетике
|
|
Детали машин и основы конструирования [4]
курсовые по деталям машин и основам конструированию, дипломы по деталям машин и основам конструированию, контрольные по деталям машин и основам конструированию
|
|
Дендрологія [0]
|
|
Дендропроектування [0]
|
|
Газони та луківництво [0]
|
|
Декоративне садівництво [0]
|
|
Тепличне господарство [0]
|
|
Ландшафтна архітектура [0]
|
|
Лісопаркове господарство [0]
|
|
Методологія [5]
|
|
Паркознавство [0]
|
| |
|
Информационная безопасность предприятия: сущность и принципы
|
| 11.09.2012, 13:06 |
Министерство образования и науки, молодежи и спорта Украины
Запорожская государственная инженерная академия
Кафедра Экономики предприятия
КОНТРОЛЬНАЯ РОБОТА
на тему: Информационная безопасность предприятия: сущность и принципы
Выполнила ст. гр. ЕП-08-1д
Смажна Я. О.
Проверила Дробышева А. О.
Запорожье - 2011
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
1 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Сущность и понятие информационной безопасность предприятия
1.2 Методы, обеспечивающие безопасность информации предприятия
1.3 Основные составляющие информационной безопасности предприятия
2 ОРГАНИЗАЦИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
2.1 Правила построения системы информационной безопасности предприятия
2.2 Принципы защиты информации
3 ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО СОЗДАНИЮ И ОБЕСПЕЧЕНИЮ
ФУНКЦИОНИРОВАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ
ВЫВОДЫ
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
ВВЕДЕНИЕ
Проблемы информационной безопасности Украины в современных условиях чрезвычайно актуальны и требуют углубленного изучения. Эта работа осуществляется в рамках изучения общих проблем национальной безопасности.
Термин "безопасность" понимается как состояние защищенности жизненно важных интересов личности, общества, государства от внутренних и внешних угроз. Но его содержание в научном понимании еще полностью не определено. Сегодня идет дискуссия вокруг этого вопроса, в частности вокруг оценки критериев безопасности, характеристик вероятных опасностей и их структуры или принципов построения системы обеспечения национальной безопасности.
Одновременно менеджеры испытывают определенный дефицит специальной литературы по вопросам правового освещения современных проблем информационного права. Несмотря на выход в свет отдельных удачных изданий и научных статей, освещены эти проблемы лишь в общем. Кроме того, в современной научной и учебной литературе очень часто "не всегда адекватно" отражены проблемы правового обеспечения информационных процессов или недостаточно фактического материала.
При анализе проблем информационной безопасности в методологическом плане наиболее важным является:
- определение и обоснование понятийного аппарата;
налаживания структурно-функциональных связей базовых понятий и разработка на этой основе соответствующих нормативно-правовых основ системы информационной безопасности;
- усовершенствование системы управления информационной безопасностью на государственном и местном уровнях;
- определение критериев эффективности функционирования системы информационной безопасности в различных сферах жизни и деятельности общества (политической, экономической, науки и техники, духовной и т.д.).
В целом система информационной безопасности должна отражать состояние защищенности национальных интересов именно в информационной сфере от внешних и внутренних угроз как для самого государства или общества, так и для конкретного человека.
Система информационной безопасности является одновременно и элементом в системе высшего уровня - международного, национального, местного. Но сегодня ряд подсистем, входящих в эту макросистему, еще не изучены на должном уровне, а также не имеют комплексного, системного исследования с выходом на современные конструкции и предложения. Это касается проблем информационной безопасности в Украине.
Изучение научно-теоретических и практических проблем информационной безопасности позволит определить и решить задачи по созданию системы информационной безопасности, которые бы функционировали эффективно.
Главным задание информационной безопасности является определение национальных интересов в информационной сфере, выявление угроз таким, их классификация, поиск и предоставление оптимальных средств, позволяющих обеспечить создание устойчивой системы информационной безопасности в Украине.
1 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Сущность и понятие информационной безопасность предприятия
Понятие информационной безопасности, в зависимости от его использования, рассматривается в нескольких ракурсах.
В общем случае информационная безопасность - это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Под информационной средой [information environment] понимают сферу деятельности субъектов, связанную с созданием, преобразованием и потреблением информации. Информационная среда условно делится на три основные предметные части:
- создание и распространение исходной и производной информации;
- формирование информационных ресурсов, подготовки информационных продуктов, предоставления информационных услуг;
- потребление информации;
и две обеспечительные предметные части:
- создание и применение информационных систем, информационных технологий и средств их обеспечения;
- создание и применение средств и механизмов информационной безопасности.
Более развернутое формулировку информационной безопасности - это состояние защищенности потребностей в информации личности, общества и государства, при котором обеспечивается их существование и прогрессивное развитие независимо от наличия внутренних и внешних информационных угроз.
Следует отметить, что удовольствие в любой степени потребностей в информации приводит к овладению сведениями об окружающем мире и процессах, протекающих в нем, то есть информированности личности, общества и государства. Состояние информированности определяет степень адекватности восприятия субъектами окружающей действительности и как следствие - обоснованность решений и действий, которые принимаются. [7, c. 46-48].
В зависимости от вида угроз информационную безопасность можно рассматривать следующим образом:
- как обеспечение состояния защищенности личности, общества, государства от воздействия некачественной информации;
- информации и информационных ресурсов от неправомерного
- -воздействия посторонних лиц;
- информационных прав и свобод гражданина.
В информационном праве информационная безопасность - это одна из сторон разбирательства информационных отношений в рамках информационного законодательства с позиций защиты жизненно важных интересов личности, общества, государства и акцентирование внимания на угрозы, механизмы устранения или предотвращения таких угроз правовыми методами. [7, c. 47-49].
Вопросы информационной безопасности, которые приведены в юридической и специальной литературе, и базируются на понимании информационной безопасности как составляющей национальной безопасности Украины.
По сути это является верным, поскольку задачей мероприятий по информационной безопасности является минимизация ущерба за неполноты, несвоевременности или недостоверности информации или отрицательного информационного влияния за последствий функционирования информационных технологий, а также несанкционированное распространение информации [12]. Именно поэтому информационная безопасность предполагает наличие определенных государственных институтов и условий существования ее субъектов, установленных международным и отечественным законодательством [6].
Кроме этого, информационная безопасность должна обеспечиваться путем проведения целостной государственной программы в соответствии с Конституцией и действующим законодательством Украины и нормами международного права путем реализации соответствующих доктрин, стратегий, концепций и программ, касающихся национальной информационной политики Украины.
Подводя итог, можно утверждать, что информационная безопасность подразумевает возможность беспрепятственной реализации обществом и отдельными его членами своих конституционных прав, связанных с возможностью свободного получения, создания и распространения информации. Понятие информационной безопасности государства следует также рассматривать в контексте обеспечения безопасных условий существования информационных технологий, включающих вопросы защиты информации, как таковой информационной инфраструктуры государства, информационного рынка и создании условий существования и развития информационных процессов.
Необходимый уровень информационной безопасности обеспечивается совокупностью политических, экономических, организационных мер, направленных на предупреждение, выявление и нейтрализацию тех обстоятельств, факторов и действий, которые могут поступить ущерб или помешать реализации информационных прав, потребностей и интересов страны и ее граждан.
Следует отметить, что понятие "информационной безопасности государства" рассматривали Бондаренко В.А., Литвиненко А.В., Кормич Б.А., Остроухов В.В., Стрельцов А.А., Расторгуев С.П., Баринов А. , Бучило И.Л. Но, на наш взгляд, информационная безопасность государства - это состояние ее информационной защищенности, при которой специальные информационные операции, акты внешней информационной агрессии и негласного снятия информации (с помощью специальных технических средств) , информационный терроризм и компьютерные преступления не наносят существенного вреда национальным интересам.
1.2 Методы, обеспечивающие безопасность информации предприятия
Формы и способы обеспечения информационной безопасности образуют собственно инструмент, с помощью которого силы информационной безопасности решают весь комплекс задач по защите жизненно важных интересов личности, общества и государства. Поэтому необходимо четкое юридическое оформление при разработке нормативных актов, регулирующих деятельность органов информационной безопасности.
Важнейшее требование к обоснованию способов, форм и механизмов их реализации состоит в абсолютном верховенстве права в любой, в том числе и политической деятельности. В свою очередь, каждый субъект информационного процесса должен иметь соответствующее правовое сознание, быть законопослушным, хорошо представлять последствия своих действий для других субъектов и меру ответственности на случай нарушения их жизненно важных интересов. Это является принципиальным, поскольку применение тех или иных форм и способов зависит от того, являются информационные угрозы следствием непреднамеренных или умышленных действий субъектов информационного процесса. В первом случае обеспечение информационной безопасности осуществляется соответственно в формах информационного патроната и информационной кооперации, во втором - в форме информационного противоборства.
Информационный патронат [information patronage] (лат. patronatys от patronys - "защитник") - форма обеспечения информационной безопасности физических и юридических лиц со стороны государства. Он предполагает обеспечение органов управления системы информационной безопасности государства сведениями о дестабилизирующие факторы и угрозы состояния информированности физических и юридических лиц (информационное обеспечение информационной безопасности) и собственно защиту жизненно важных интересов этих лиц от информационных угроз или, как еще говорят, - информационную защиту [10, c. 41-42].
При этом информационное обеспечение информационной безопасности [information support of information security] включает сбор (добывание) сведений о дестабилизирующие факторы и информационные угрозы, их обработку, обмен информацией между органами управления и силами и средствами системы информационной безопасности. Его основу составляет сбор (добывание) необходимых сведений, осуществляемое в процессе разведывательной, контррозвидува-ной, оперативно-розыскной и оперативно-информационной деятельности.
Информационная защита [infosecurity] достигается путем внесения в порядке законодательной инициативы законопроектов, осуществление судебной защиты, проведения оперативных мероприятий силами и средствами информационной безопасности.
Информационная кооперация [information cooperation] (лат. cooperatio, от coopero - "сотрудничаю") - форма обеспечения информационной безопасности между равноправными субъектами информационного процесса (физическими, юридическими, международными), который включает совокупность их взаимосогласованных действий, направленных на получение сведений о дестабилизирующие факторы, дестабилизирующие и информационные угрозы и защита от них доступными законными способами и средствами.
Для конкретной личности такими способами и средствами могут быть:
1. судебная защита прав и свобод в использовании информации;
2. административная защита ее жизненно важных интересов информированности со стороны территориальных или ведомственных органов информационной безопасности;
3. автономный защиту своих прав и свобод в основном с применением технических средств защиты, личной, семейной и профессиональной тайны.
Это же характерно и для общественных объединений, организаций (предприятий). Вместе с тем, при наличии у них собственных органов информационной безопасности, их возможности в сфере автономного защиты существенно расширяются [11, c. 220-225].
Проблемы защиты информации в автоматизированных системах оказались практически одновременно с началом использования средств электронной вычислительной техники при регулярной обработки информации. Таким образом, история защиты информации исчисляется почти 40-летним периодом.
При применении вычислительной техники для обработки информации основное внимание уделялось обеспечению ее физической целостности или, достоверности (надежности) информации. В этой связи особо следуетотметить тот факт, что отечественная школа ученых и специалистов
внесла существенный вклад в исследование и решение этой проблемы. Нарушение целостности информации на этом первоначальном этапе развития рассматривалось как результат воздействия естественных факторов, главными из которых являются отказы, сбои и ошибки элементов систем обработки.
Что касается защиты от несанкционированного получения информации?
Считалось, что автономность работы ЭВМ первых поколений, индивидуальность алгоритмической реализации процедур обработки, представление информации в памяти ЭВМ и на машинных носителях в закодированном виде, а также относительная простота организационного контроля всего процесса обработки обеспечивают надежную защиту информации от несанкционированного доступа к ней лиц, не имеющих соответствующих полномочий.
Однако по мере развития самой вычислительной техники и информационных технологий, форм, способов и масштабов использования автоматизированной обработки информации теряли свою эффективность. В силу чего уязвимость информации со стороны злоумышленников стала вполне реальной, что и нашло свое подтверждение в конкретних формах несанкционированного получения информации, причем первые сведения о таких фактах появились в печати более двадцати лет назад.
Ущерб от подобных действий нередко принимал внушительные размеры и приводил к весьма серьезным последствиям. Как пример можно привести несанкционированное копирование информации, являющейся чьей-либо собственностью. В последнее время эти проблемы обсуждаются достаточно интенсивно, особенно относительно хищения программ для ЭВМ.
О распространенности данного вида незаконных действий достаточно убедительно говорит хотя бы такой факт: как утверждают зарубежные специалисты, на каждую копию программы, полученную законным путем, существует не менее десяти копий, полученных незаконным путем.
Можно привести большое количество и других конкретных примеров злоумышленных действий по отношению к информации, находящейся в автоматизированных системах. Наиболее распространенной и опасной формой таких действий в последнее время оказалось заражение информационно-вычислительных систем и сетей так называемыми компьютерными вирусами.
Согласно определению, компьютерная безопасность зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электроснабжения, жизнеобеспечения, вентиля-
ции, средства коммуникаций, а также обслуживающий персонал [3, с. 10- 11].
1.3 Основные составляющие информационной безопасности
Информационная безопасность – многогранная, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих информационной безопасности включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.
Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность информации, ее защищенность от разрушения и несанкционированного изменения. Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности. Особенно ярко ведущая роль доступности проявляется в системах управления – на производстве, транспорте и т. п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т. п.).
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом информационной безопасности в тех случаях, когда информация служит «руководством к действию». Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным.
Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности.
К сожалению, практическая реализация мер по обеспечению конфи- денциальности современных информационных систем наталкивается на серьезные трудности.
Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках.
Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы. Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует Информационные Системы, на первом месте стоит доступность.
Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения? Наконец, конфиденциальные моменты есть также у многих организаций (даже в различных учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли) [3, с. 20 - 21].
2 ОРГАНИЗАЦИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
2.1 Правила построения системы информационной безопасности предприятия
Предприятия (фирмы, организации, учреждения) – наиболее многочисленные структуры, в которых создается наибольший объем (количество) информации, содержащей государственную и конфиденциальную тайну. В них проводится конкретная и разнообразная работа по защите информации. Система информационной безопасности предприятия должна базироваться на следующих принципах:
Профилактика возможных угроз. Необходимо своевременное выявление возможных угроз безопасности предприятия, анализ которых позволит разработать соответствующие профилактические меры.
Законность. Меры по обеспечению безопасности разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.
Комплексное использование сил и средств. Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей компетенции, участвовать в обеспечении безопасности предприятия. Организационной формой комплексного использования сил и средств является программа (план работ) обеспечения безопасности предприятия.
Координация и взаимодействие внутри и вне предприятия. Меры противодействия угрозам осуществляются на основе взаимодействия и координации усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия. Организовать координацию и взаимодействие внутри и вне предприятия может служба безопасности (СБ) предприятия (либо руководитель предприятия, если СБ в организации нет).
Сочетание гласности с секретностью. Доведение информации до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль - предотвращение потенциальных и реальных угроз.
Компетентность. Сотрудники должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.
Экономическая целесообразность. Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения.
Плановая основа деятельности. Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия, подпрограмм обеспечения безопасности по основным его видам (экономическая, научно - техническая, экологическая, технологическая и т. д.) и разрабатываемых для их исполнения планов работы подразделений предприятия и отдельных сотрудников.
Системность. Этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение деятельность по его обеспечению всех сотрудников, использование всех сил и средств [5].
2.2 Принципы защиты информации
Обеспечение информационной безопасности - это совокупность мер, предназначенных для достижения состояния защищенности потребностей личностей, общества и государства в информации.
Государство осуществляет свои мероприятия через соответствующие органы, а граждане, общественные организации и объединения, имеющие соответствующие полномочия, - в соответствии с законодательством. В основу обеспечения информационной безопасности государства должны быть положены следующие принципы:
- законность, соблюдение баланса интересов личности, общества и государства;
- взаимная ответственность субъектов обеспечения информационной безопасности;
- интеграция систем национальной и международной безопасности.
Специфическими принципами обеспечения информационной безопасности являются:
- превентивный характер проведения ее мероприятий в отношении мер других видов безопасности;
- адекватная информированность объектов безопасности, в том числе и международных.
Превентивнисть (лат. praeventio от praevenio - "предупреждаю") обусловлена присущей человеку последовательностью выполнения операций, что составляет любую элементарную действие. Все начинается с приема (добывания) информации, а заканчивается активным действием: реакцией на полученную информацию. Поскольку это справедливо в отношении любого вида деятельности, то можно утверждать, что данный принцип является общим, и его действие распространяется на все сферы безопасности личности, общества и государства.
Адекватная информированность объектов безопасности означает, что все они имеют право владеть информацией о явлениях и процессах, которые их интересуют, которое ограничено только законодательно в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также морали [8, c. 38-40].
Права и свободы общества в вопросах поиска, владения и распространения информации должны регулироваться законодательными актами, которые выдаются, о специфике деятельности общественных объединений и организаций или содержания информации. Например, адекватная информированность общества о его материальные ценности достигается в сфере нормотворчества и право-применения законодательства о защите коммерческой тайны. Права и свободы общества в духовной сфере должны защищать законодательные акты, определяющие порядок образования и функционирования образовательных, просветительских, культурных, религиозных организаций, а также СМИ. В основе прав и свобод государства в сфере ее информированности по вопросам мировой политики, экономики, науки, ресурсов, экологии, обороны и т.д. лежат действующие нормы и принципы межгосударственного права. Главным следует считать принцип равной безопасности. Применительно к информационной сфере можно говорить о его трансформации в принцип адекватной информированности государств мирового сообщества, который предусматривает право каждого государства на информационную безопасность, обеспечение информационной безопасности всех членов сообщества в равной степени, учет интересов всех сторон без какой-либо дискриминации, исключение односторонних преимуществ, отказ от действий, наносящих ущерб другому государству.
Законодательная база, определяющая перечень сведений, отнесенных к государственной тайне, механизм и порядок ее защиты должны разрабатываться, исходя из следующих принципа, а также многосторонних соглашений государств, входящих в международную систему информационной безопасности. Формирование последней будет, очевидно, делом далекой перспективы, которая ознаменует собой высший уровень проявления доверия и заинтересованности государств мирового сообщества в обеспечении выполнения на практике принципа адекватной информированности. Такая система должна стать подсистемой в системе коллективной безопасности [9, c. 3-5].
3 ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО СОЗДАНИЮ И ОБЕСПЕЧЕНИЮ
ФУНКЦИОНИРОВАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ
Организационные меры являются той основой, которая объединяет различные меры защиты в единую систему.
Они включают:
- разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
- мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);
- периодически проводимые (через определенное время) мероприятия;
- постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
Разовые мероприятия.
К разовым мероприятиям относят:
- мероприятия по созданию нормативно-методологической базы (разработка концепции и других руководящих документов) защиты АС;
- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п.);
- мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п.);
- проведение спецпроверок применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;
- внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, технологические инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности ресурсов АС и действиям в случае возникновения кризисных ситуаций;
- создание подразделения защиты информации (компьютерной безопасности) и назначение нештатных ответственных за ОИБ в подразнелениях и на технологических участках; осуществляющих организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации; разработка и утверждение их функциональных обязанностей;
- мероприятия по разработке политики безопасности, определение порядка назначения, изменения, утверждения и предоставления конкретным категориям сотрудников (должностным лицам) необходимых полномочий по доступу к ресурсам системы;
- мероприятия по созданию системы защиты АС и необходимой инфраструктуры (организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией, оборудование служебных помещений сейфами (шкафами) для хранения реквизитов доступа, средствами уничтожения бумажных и магнитных носителей конфиденциальной информации и т. п.);
- мероприятия по разработке правил разграничения доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным;
- определение перечней файлов и баз данных, содержащих сведения,составляющие коммерческую и служебную тайну, а также требований к уровням их защищенности от НСД при передаче, хранении и обработке в АС; выявление наиболее вероятных угроз для данной АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценка возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);
- организация охраны и надежного пропускного режима;
- определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладних программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать), определение порядка учета, выдачи, использования и хранения съемных магнитных носите лей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;
- определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.
Периодически проводимые мероприятия
К периодически проводимым мероприятиям относят:
- распределение реквизитов разграничения доступа (паролей, ключей
- шифрования и т. п.);
- анализ системных журналов (журналов регистрации), принятие мер по обнаруженным нарушениям правил работы;
- пересмотр правил разграничения доступа пользователей к ресурсам АС организации;
- осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты и разработка необходимых мер по совершенствованию (пересмотру состава и построения) системы защиты.
Мероприятия, проводимые по необходимости
К мероприятиям, проводимым по необходимости, относят:
- мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
- мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (санкционирование, рассмотрение и утверждение изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т. п.);
- проверка поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладних устройств, инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;
- оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;
- мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.);
- оформление юридических документов (договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами) и третьей стороной (арбитражем, третейським судом) о правилах разрешения споров, связанных с информационным обменом;
- обновление технических и программных средств защиты от НСД к информации в соответствие с меняющейся оперативной обстановкой.
Постоянно проводимые мероприятия
Постоянно проводимые мероприятия включают:
- мероприятия по обеспечению) достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т. п.);
- мероприятия по непрерывной поддержке функционирования и управлению (администрированию) используемыми средствами защиты;
- организацию явного и скрытого контроля за работой пользователей и персонала системы;
- контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй, функционирования, обслуживания и ремонта АС;
- постоянно (силами службы безопасности) и периодически (с привлечением сторонних специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты [3].
ВЫВОДЫ
Рассматривая особенности информационной функции системы управления экономической безопасностью предприятия, следует отметить, что только системный подход к управлению предпринимательством и безопасностью в нем, когда все работники обязаны, особенно в кризисных, конфликтных и нестабильных ситуациях, серьезно относиться к проблеме обеспечения информационной, личной безопасности и экономической безопасности организации в целом, повлечет положительные результаты деятельности. Для этого менеджеру и специалистам службы безопасности организации необходимо тщательно освоить и эффективно применять основные способы
управление организацией, персоналом и системой безопасности в предпринимательской деятельности. Следовательно, для нормального развития собственного бизнеса, предприниматель должен не только создать систему безопасности предприятия, но и умело и профессионально управлять ею.
Информационная безопасность предприятия должна обеспечиваться путем проведения целостной государственной программы в соответствии с Конституцией и действующим законодательством Украины и нормами международного права путем реализации соответствующих доктрин, стратегий, концепций и программ, касающихся национальной информационной политики Украины. Понятие информационной безопасности предприятия следует также рассматривать в контексте обеспечения безопасных условий существования информационных технологий, включающих вопросы защиты информации, построения эффективной информационной инфраструктуры, информационного рынка и создание безопасных условий существования и развития информационных процессов.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Про інформацію : закон України [прийнято ВР 02.10.1992 р.] // Закони України. -К., 1996. – Т.4.
2. Про захист інформації в автоматизованих системах : закон України [прийнято ВР 5.07.1994 р.] // Закони України. – 1997. – Т. 7
3. Березюк, Л.П. Организационное обеспечение информационной безопасности : учеб. пособие / Л.П. Березюк. – Хабаровск : Изд-во ДВГУПС,2008. – 188 с. : ил.
4. Литвиненко О. Інформація і безпека // Нова політика. - 1998. - № 1. - C. 47-49.
5. Игнатьев, В.А. Информационная безопасность современного коммерческого предприятия: Монография / В.А. Игнатьев. – Старый Оскол: ООО «ТНТ», 2005. – 448 с.
6. Бучило И.Л. Информационное право: основы практической информации. – М., 2001 – С. 253.
7. Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть // Вісник Київського університету імені Т.Шевченка. - 1999. - Вип. 14: Міжнародні відносини. - C. 46-48.
8. Маракова І. Захист інформації: Підручник для вищих навчальних закладів/ Ірина Маракова, Анатолій Рибак, Юрій Ямпольский,; Мін-во освіти і науки України, Одеський держ. політехнічний ун-т, Ін-т радіоелектроніки і телекомунікацій . - Одеса, 2001. -164 с.
9. Захаров Е. Информационная безопасность или опасность отставания?// Права людини. - 2000. - № 1 . - C. 3-5
10. Борсуковский Ю. Подходы и решения : Информационная безопасность // Мир денег. - 2001. - № 5. - C. 41-42
11. Щербина В. М. Інформаційне забезпечення економічної безпеки підприємств та установ // Актуальні проблеми економіки. - 2006. - № 10. - C. 220 - 225.
12. Баринов А. Информационный суверенитет или информационная безопасность? // Національна безпека і оборона. – 2001. – № 1. – С. 70-76.
13. Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть / О.М. Горбатюк // Вісник Київського університету імені Т.Шевченка. – 2009. – Вип. 14: Міжнародні відносини. – C. 46-48
14. Остроухов В.В. До проблеми забезпечення інформаційної безпеки України / В.В. Остроухов // Політичний менеджмент. – 2008. – № 4. – C. 135–141.
СКАЧАТЬ
|
Автор: januskaaa | Просмотров: 841 | Скачали: 3 | Рейтинг: 0.0/ 0 |
Подобные работы:
|
|
|