Обеспечение информационной безопасности гражданского аэропорта

МИНЕСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

АНО ВПО «МЕЖРЕГИОНАЛЬНЫЙ ИНСТИТУТ

СИСТЕМНОЙ БЕЗОПАСНОСТИ»

Кафедра управления безопасностью

Специальность 080507 «Менеджмент организации»

Курсовая работа

на тему:

«Обеспечение информационной безопасности гражданского аэропорта. »

ВВЕДЕНИЕ

1. Безопасность информации.

1.1. Информационная защита информационные ресурсы

1.2 Информационное обеспечение полетов.              9

2. Исследование информации для обеспечения Безопасности полетов

2.1 Причины авиакатосторыф под СмоленскомМодель Ризона

    2.2 Модель Ризона……………………………………………………………………………18                                                                                                                    

3. Новые методы обеспечения безопасности полетов.

3.1 Автоматизированная система управления

Заключение

Список  литературы.

ВВЕДЕНИЕ

Безопасность полетов воздушных судов гражданской авиации (далее - безопасность полетов) представляет собой состояние авиационной транспортной системы, при котором риск причинения вреда лицам или нанесения ущерба имуществу снижен до приемлемого уровня и поддерживается на этом либо более низком уровне посредством непрерывного процесса выявления источников опасности и контроля факторов риска. При решении вопросов безопасности полетов на нынешнем этапе развития гражданской авиации необходимо учитывать стремительный рост объемов перевозок, массовое обновление парка воздушных судов и смену поколения авиационных специалистов.

В последние годы значительные усилия были направлены на изучение причин происшествий в авиации. Общепризнанным является тот факт, что большинство происшествий обусловлено ошибками человека, являющегося последним звеном в цепочке факторов, которые приводят к происшествию. Авиационные происшествия часто обусловлены организационными факторами. Большинство звеньев в цепочке событий и факторов, приводящих к аварии, поддаются контролю.

В основе управления безопасностью лежит системный подход к выявлению источников опасности и контролю факторов риска для сведения к минимуму человеческих жертв, материального ущерба, а также финансовых, экологических и социальных последствий.

По определению Международной организации гражданской авиации государственная программа обеспечения безопасности полетов представляет собой комплекс правил и мер, направленных на повышение уровня безопасности полетов.

Управление безопасностью полетов требует планирования организационных мероприятий по выявлению и устранению рисков авиационных происшествий, взаимодействия по вопросам предотвращения авиационных происшествий всех участников авиационной транспортной системы при производстве полетов, их обеспечении и расследовании авиационных событий.

Затраты на мероприятия по обеспечению безопасности полетов окупаются за счет сокращения размеров ущерба от авиационных происшествий и повышения эффективности авиатранспортной деятельности.

Система управления безопасностью полетов организации гражданской авиации представляет собой упорядоченный подход к обеспечению безопасности полетов, включающий необходимые организационные структуры, сферы ответственности, руководящие принципы, политику и процедуры.

Система управления безопасностью полетов дает организации гражданской авиации возможность прогнозировать и устранять проблемы до того, как они приведут к авиационному происшествию.

Программно-целевой подход необходим для концентрации в рамках Программы[1] государственных ресурсов и частных инвестиций с целью решения ключевых проблем безопасного развития гражданской авиации, обеспечения сбалансированной и оптимальной последовательности решения задач, запуска механизма системы управления безопасностью полетов в организациях гражданской авиации. Программа предусматривает масштабное вовлечение бизнеса в формирование и реализацию системы приоритетов безопасного развития гражданской авиации. При этом роль государства состоит в том, чтобы сбалансировать интересы бизнеса с общенациональными приоритетами, краткосрочные тактические приоритеты со стратегическими долгосрочными перспективами.

1. Безопасность информации

1.1. Информационная защита и информационные ресурсы.

Зарубежный и отечественный опыт обеспечения безопасности полётов свидетельствует, что для борьбы со всей совокупностью потенциально возможных угроз необходима стройная и целенаправленная организация процесса противодействия. Причем в организации этого процесса должны участвовать не только люди, ответственные за это направление, а также: профессиональные специалисты, руководство организации, ведущие сотрудники организации. Для этого необходимо разрабатывать под каждую конкретную организацию свою концепцию безопасности.

Согласно Федеральному закону «О безопасности» от 5 марта 1992 № 2446-1: «Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз»[2]. Безопасность, это  сложная система, когда действие внешних и внутренних факторов не приводит к ухудшению или невозможности ее функционирования и развития.

Цель системы обеспечения безопасности информационных технологий состоит в предотвращении или минимизации ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Систему информационной безопасности (ИБ) компании можно представить в виде пирамиды. Основу пирамиды составляет персонал компании от руководителя до каждого рядового сотрудника, технические средства (оборудование и программное обеспечение) и политики и процедуры компании в области информационной безопасности, изложенные в регламентирующих документах разного рода. На этой основе работают процессы управления и обеспечения информационной безопасности.

Сейчас процессный подход очень популярен в мире. Он широко используется в качестве методологии управления и совершенствования рабочими процессами в различных областях, включая процессы управления и обеспечения информационной безопасности. Если система информационной безопасности, или любая другая система состоит из процессов, которые никак между собой не связаны, не продуманы и выполняются так, как это исторически сложилось (а зачастую складывается это не всегда правильно и не всегда красиво), мы часто обнаруживаем, что такое построение не дает компании развиваться, совершенствоваться и реагировать на изменения на рынке.

Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС (автоматизированная система) соответствующими множеству значимых угроз методами и средствами.

Информация – совокупность значений, фактов, сведений, представляющих интерес и подлежащих хранению и обработке.[3]

Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление - управление людьми, рисками, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи автоматизированной системы (АС), - являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Создать абсолютно надежную систему безопасности компании невозможно.  Самая совершенная современная система безопасности не может противодействовать угрозам, которые пока неизвестны, но где-то разрабатываются и могут возникнуть уже завтра. Эффективность и надежность системы безопасности во многом зависят от обслуживающего ее персонала, который не застрахован от ошибок. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому стоит говорить лишь об обеспечении такого уровня защиты, когда стоимость ее преодоления становится больше стоимости получаемой при этом информации (достигаемого эффекта) или когда за время получения информации она обесценивается настолько, что усилия по ее получению теряют смысл.

Информация является объектом отношений физических и юридических лиц между собой и государством. Документирование информации (создание официального документа) является обязательным условием ее сохранения. Документ может быть не только деловым. Большую  ценность имеют документы, представленные в графической форме, конструкторские документы, картографические, научно-технические и многие другие.

Информационные ресурсы могут быть двух видов: открытого и ограниченного доступа. Причем и та и другая находится в едином информационном пространстве, и разделить ее без тщательного содержательного анализа часто бывает невозможным. Например: систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа.

Документы могут быть представлены в нескольких видах:

      документы на бумажных носителях (листы бумаги, ватмана, фотобумаги и т.д.)

      документы на технических носителях (магнитных, фотопленочных, CD, DVD  и т.д.)

      электронные документы, автоматизированные банки данных электронных документов, изображение на экране дисплея (видеограммы)

Информационные ресурсы имеют определенную ценность.

Ценность информации представляет собой стоимостную категорию, которая характеризует конкретный размер прибыли при ее использовании или размер убытков при ее утрате.

Конфиденциальность отражает ограничения, которые  накладывает собственник информации на доступ к ней других лиц. Конфиденциальность используется исключительно для обозначения информационных ресурсов ограниченного доступа, но не отнесенных к государственной тайне.

Конфиденциальность документов имеет сроки ограничения свободного доступа от нескольких часов до значительного числа лет. Период обращения  конфиденциальных документов может быть краткосрочным или долгосрочным в зависимости от ценности информации.

Документы долговременного периода конфиденциальности имеют усложненный вариант обработки и хранения, обеспечивающий  безопасность информации и ее носителя. Документы кратковременного периода конфиденциальности, имеющие оперативное значение, обрабатываются и хранятся по упрощенной схеме, и могут не выделятся из технологической системы обработки открытых документов, при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.

К угрозам защиты информации относятся: несанкционированное уничтожение документов, ускоренное угасание (старение) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.

Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя. Основной угрозой безопасности   информационных  ресурсов является несанкционированный доступ и ее противоправное использование или совершенствование иных действий.

1.2 Информационное обеспечение полетов.

В настоящее время безопасность – это концепция, которая должна включать относительные понятия, а не абсолютные,  следует допускать наличие рисков при обеспечении безопасности полетов, возникающих вследствие факторов опасности в эксплуатационном контексте. Основное это контроль, но контроль относительный, а не абсолютный. До тех пор пока факторы риска безопасности полетов и эксплуатационные ошибки находятся под контролем в разумных пределах, они допустимы в  безопасной по своему существу системе.

Таким образом, безопасность все в большей степени рассматривается как результат управления некоторыми организационными процессами, имеющими своей целью держать под контролем факторы риска  безопасности полетов, возникшие как следствие факторов опасности в эксплуатационном контексте.

Можно сказать, что безопасность это состояние, при котором возможное причинение ущерба лицам или имуществу снижается до приемлемого уровня и поддерживается на этом или более низком уровне посредством постоянного процесса выявления факторов опасности и управления факторами риска безопасности полетов.

Стандарт ISO описывает как в пирамиде, состоящей из процессов, людей, оборудования и регламентирующих документов нужно построить систему управления безопасностью. Это тот стандарт, относительно которого мы можем оценить как текущее, так и желательное состояние компании. Методология стандарта говорит не о том, нужен нам антиспамовый фильтр или не нужен, нужны антивирусные программы или не нужны, а о том, как строить систему процессов обеспечения информационной безопасности компании.

Одна из важнейших услуг в этой области – сертификация систем управления информационной безопасностью на соответствие стандарту ISO 17799. Данный сертификат служит дополнительным доказательством того, что в компании, прошедшей аудит безопасности информационных ресурсов, налажено эффективное управление информационной безопасностью, что обеспечивает ей дополнительные конкурентные преимущества.

Конечно, стандарт ISO не единственный. Но он предлагает общий подход к построению системы управления информационной безопасностью, подход, включающий в себя другие частные вопросы. Разумеется, он не описывает подробно, как именно все это должно быть реализовано. По одной простой причине - нельзя стандартизировать все, от персонального компьютера, последнего винтика до бизнес-процессов. Это нереально, поскольку в авиации также используются и другие стандарты (EASA PART-145). А в авиации те же ИТ-системы базируются на разном оборудовании, имеют разную архитектуру, и организационно все компании между собой тоже различаются. Но стандарт охватывает "верхнюю часть" системы, описывая, как организовать управление, и рекомендует внедрение тех или иных средств контроля и защиты.