Общая характеристика организационного обеспечения защиты информации

Астраханский  государственный университет

Ресурсный центр дистанционного обучения 
 
 
 
 
 
 
 
 
 

РЕФЕРАТ

Тема: «Общая характеристика организационного обеспечения защиты информации.» 

по дисциплине «Информационная безопасность и  защита информации» 
 
 
 
 
 
 
 
 
 
 

Выполнила:

студентка

Проверил:  
 
 
 
 
 
 
 
 
 

г. Астрахань

2011

Введение

В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает  и надёжность работы компьютера, и  сохранность ценных данных, и защиту информации от внесения в неё изменений неуполномоченными лицами, и сохранение тайны переписки в электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием компьютерных систем, во многом опирается на меры самозащиты.

Всегда существует проблема выбора между необходимым  уровнем защиты и эффективностью работы в сети. В некоторых случаях  пользователями или потребителями меры по обеспечению безопасности могут быть расценены как меры по ограничению доступа и эффективности. Однако такие средства, как, например, криптография, позволяют значительно усилить степень защиты, не ограничивая доступ пользователей к данным. 

В решении проблемы информационной безопасности значительное место занимает построение эффективной  системы организации работы с  персоналом, обладающим конфиденциальной информацией. В предпринимательских  структурах персонал обычно включает в себя всех сотрудников данной фирмы, в том числе и руководителей. 

Персонал генерирует новые идеи, новшества, открытия и  изобретения, которые продвигают научно-технический  прогресс, повышают благосостояние сотрудников  фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Каждый сотрудник объективно заинтересован в сохранении в тайне тех новшеств, которые повышают прибыли и престиж фирмы. Несмотря на это, персонал, к сожалению, является в то же время основным источником утраты (разглашения, утечки) ценной и конфиденциальной информации. 

Никакая, даже самая  совершенная в организационном  плане и великолепно оснащенная технически система защиты информации не может соперничать с изобретательностью и хитростью человека, задумавшего украсть или уничтожить ценную информацию. Обычный секретарь руководителя фирмы имеет возможность нанести фирме такой значительный ущерб, что окажется под вопросом само ее существование.  

Многие специалисты  по защите информации считают, что при  правильной организации работы с персоналом защита информации фирмы сразу обеспечивается не менее чем на 80% без применения каких-либо дополнительных методов и средств защиты. 

Обеспечение безопасности информации в информационных системах от случайных или преднамеренных воздействий персонала, направленных на неправомерное использование, уничтожение, модификацию тех или иных данных, изменение степени доступности ценных сведений в машинной и внемашинной сферах предполагает наличие надежной защиты ценных для предпринимателя документов, прежде всего конфиденциальных. 

Необходимый уровень  защищенности документированной информации достигается в значительной степени  за счет использования в обработке  традиционных, машиночитаемых и электронных  конфиденциальных документов эффективной для конкретной фирмы специализированной традиционной или автоматизированной технологической системы, позволяющей решать задачи не только документационного обеспечения управленческой и производственной деятельности, но и сохранности носителей и конфиденциальности информации. 
 

Служба  безопасности

Организационные методы защиты информации включают меры, мероприятия и действия, которые  должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного  уровня безопасности информации. 

Организационные методы защиты информации тесно связаны  с правовым регулированием в области  безопасности информации. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специальные службы безопасности (на практике они могут называться и иначе). Эти службы подчиняются, как правило, руководству учреждения. Руководители служб организуют создание и функционирование систем защиты информации. На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС:  

+ организация работ по разработке системы защиты инфор- мации

+ ограничение доступа на объект и к ресурсам КС;

+ разграничение доступа к ресурсам КС;

+ планирование мероприятий;

+ разработка документации;

+ воспитание и обучение обслуживающего персонала и пользователей;

+ сертификация средств защиты информации;

+ лицензирование деятельности по защите информации;

+ аттестация объектов защиты;

+ совершенствование системы защиты информации;

+ оценка эффективности функционирования системы защи- ты информации;

+ контроль выполнения установленных правил работы в КС.  

Организационные методы являются стержнем комплексной  системы защиты информации в КС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему. Конкретные организационные методы защиты информации будут приводиться при рассмотрении парирования угроз безопасности информации. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты информации. 
 
 
 
 
 
 

Главный принцип работы службы безопасности- предупреждение сложных ситуаций. Собственно, на этом принципе основано и деление службы безопасности по группам, обеспечивающим безопасность личности ( руководителей, персонала фирмы и членов их семей); защиту материальной базы и коммерческих тайн фирмы. Служба безопасности защищает помещения офисов, оборудование и технику, транспорт, землю, на которой осуществляется производственные или коммерческая деятельность и т.п. Анализирует, кто из конкурентов может заниматься вымогательством и шантажом. Не менее важное значение имеет защита связей с партнерами, экономического положения на рынке. К числу способов защиты экономической базы фирмы относятся аудиторские проверки, заключение сделок по факту поставки товаров и т.п.  

Предотвращение  хищений имущества и ценностей фирмы обеспечивается, помимо работы с персоналом, контролем и защитой от несанкционированного проникновения в помещение, к грузам, ценностям, носителям информации. В связи с тем, что до 80 % случаев утечки информации и утраты документов совершается по вине персонала, служба безопасности (СБ) самым внимательным образом проводит работу по подбору и проверке сотрудников , обучает их работе с секретной информацией. Служба безопасности может иметь открытую и закрытую области деятельности. Работа открытого характера связана с поддержанием официальных контактов с представителями других предприятий, прессой, персоналом фирмы. Закрытая деятельность обычно не афишируется. Это, как правило, скрытая проверка персонала, выполнение различных конфиденциальных поручений руководства фирмы. 

Практически на всех стадиях реализации замкнутого информационного контура управления возникает необходимость поддержания  целостности и достоверности  информации, а во многих случаях - и  обеспечения условий ограниченного  доступа к данным. Достижение этих результатов обеспечивается технологиями защиты данных. 

Рассмотренные преобразования данных (сбор, накопление, регистрация, передача, хранение, копирование, упорядочивание, поиск, представление, выдача, защита) практически полностью  исчерпывают перечень функций офисных технологий. 

Представленный  порядок перечисления этих функций  является схематичным, хотя в основном и соответствует последовательному  прохождению данных по замкнутому информационному  контуру системы управления. В  действительности те или иные функции и соответствующие офисные технологии реализуются и вне указанного порядка. 

Так, сбор данных осуществляется не только в связи  с оценкой параметров управляемого процесса, но и при изучении общей  ситуации для принятия решений стратегического и долгосрочного характера, когда источники информации находятся вне системы управления. 

Накопление данных может осуществляться и внутри решающего  элемента при необходимости подготовки управленческих решений, связанных  с плановой и аналитической деятельностью. 

Регистрация данных реализуется тогда, когда на различных  стадиях подготовки и принятия решений  происходит изменение формы восприятия информации или смена вида носителя данных. 

Передача и  хранение данных осуществляются всякий раз, когда в процессе движения информации изменяются ее пространственные и временные координаты. 

Такая же ситуация и с другими функциями офисных  технологий. 

Офисная деятельность - это определенным образом организованная в пространстве и времени совокупность действий множества людей (персонала), реализация которых обеспечивает условия эффективного выполнения управленческой деятельности для конкретной системы, управления. 

Определение цели, задачи (или задач) офисной деятельности определяется ее содержанием как  процесса, обеспечивающего эффективную реализацию управленческой деятельности в рамках конкретной системы управления. 

Офисная технология - информационная технология, объект и  результат которой определяются потребностями реализации управленческой деятельности в рамках конкретной формы осуществления офисной деятельности (офиса). 

Реализация функции  защиты данных преследует две цели: 

- обеспечение  целостности данных, т. е. сохранности  информации как таковой; 

- охрана данных  от несанкционированного доступа. 

Защита от несанкционированного доступа собственно данных достаточно разнообразна и может предусматривать: 

- криптографические  средства как при хранении  и использовании данных (программы  шифровки и дешифровки), так и  при их передаче (например, скремблирование); 

- условный доступ, когда для использования данных необходимо выполнение определенных требований (задание имени и пароля, соблюдение временных ограничений, выполнение определенных организационных процедур и т. п.). 

В соответствии с Федеральным законом «Об  информации, информатизации и защите информации» информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных, в том числе предпринимательских, структур (далее по тексту - фирмы) включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках данных компьютеров и других информационных системах) на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники. 

Информационные  ресурсы формируются в процессе создания и распространения исходной и производной информации. Этот процесс  сопровождает любую производственную и управленческую деятельность в  государственной и негосударственной сферах, а также жизнь гражданина. Для информационных ресурсов характерен ретроспективный аспект, что определяется технологической завершенностью их возникновения. 

Информационные  ресурсы (информация) являются объектами  отношений физических и юридических лиц между собой и с государством, составляют в совокупности информационные ресурсы России и охраняются законом наряду с другими видами ресурсов. 
 

Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т. д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.