Защита конфиденциальной информации на предприятии

Автор работы: Пользователь скрыл имя, 15 Февраля 2012 в 09:39, дипломная работа

Краткое описание

Цель исследования - анализ современных технологий, способов, методов и средств защиты конфиденциальной информации предприятия.
В задачи исследования, в соответствии с поставленной целью, входит:
1. Раскрыть основные составляющие информационной безопасности;
2. Определить состав информации, которую целесообразно отнести к категории конфиденциальной;

Содержание работы

Введение
Глава 1. Основы информационной безопасности и защиты информации
1.1 Эволюция термина "информационная безопасность" и понятие конфиденциальности
1.2 Ценность информации
1.3 Каналы распространения и утечки конфиденциальной информации
1.4 Угрозы и система защиты конфиденциальной информации
Глава 2. Организация работы с документами, содержащими конфиденциальные сведения
2.1 Нормативно-методическая база конфиденциального делопроизводства
2.2 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных
2.3 Технологические основы обработки конфиденциальных документов
Глава 3. Защита информации ограниченного доступа в ОАО "ЧЗПСН - Профнастил"
3.1 Характеристика ОАО "ЧЗПСН - Профнастил"
3.2 Система защиты информации в ОАО "ЧЗПСН - Профнастил"
3.3 Совершенствование системы безопасности информации ограниченного доступа
Заключение
Список использованных источников и литературы

Содержимое работы - 1 файл

Защита конфиденциальной информации .docx

— 119.23 Кб (Скачать файл)

Обладатель коммерческой тайны - физическое или юридическое  лицо, обладающее на законном основании  информацией, составляющей коммерческую тайну, и соответствующими правами  в полном объеме (91, с.123).

Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных  носителях, которые могут ее сохранять, накапливать, передавать. С их помощью  осуществляется и использование  информации. (8; 91, с.123)

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит  свое отображение в виде символов, образов, сигналов, технических решений  и процессов (8; 68, с.37).

Из этого определения  следует, во-первых, что материальные объекты - это не только то, что можно  увидеть или потрогать, но и физические поля, а также мозг человека, во-вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях, техническими решениями в изделиях, техническими процессами в технологии изготовления продукции (39, с.65).

Типы материальных объектов как носителей информации различны. Ими могут быть магнитные  ленты, магнитные и лазерные диски, фото-, кино-, видео - и аудиопленки, различные  виды промышленной продукции, технологические  процессы и др. Но наиболее массовым типом являются носители на бумажной основе (46, с.11). Информация в них фиксируется  рукописным, машинописным, электронным, типографским способами в форме  текста, чертежа, схемы, рисунка, формулы, графика, карты и т.п. В этих носителях  информация отображается в виде символов и образов. Такая информация ФЗ "Об информации…" (8) отнесена к разряду  документированной информации и  представляет собой различные виды документов.

В последнее время  произошли существенные коррективы в формы и средства получения  конфиденциальной информации неформальными  способами. Конечно, это касается в  основном воздействия на человека как  носителя конфиденциальной информации.

Человек как объект воздействия более подвержен  неформальным воздействиям, чем технические  средства и другие носители конфиденциальной информации, в силу определенной правовой незащищенности в текущий момент, индивидуальных человеческих слабостей  и жизненных обстоятельств (64, с.82).

Такое неформальное воздействие имеет, как правило, скрытый, нелегальный характер и  может осуществляться как индивидуально, так и группой лиц.

На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов  утечки информации: речевой канал, физический канал и технический канал.

Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством  слов лично объекту, заинтересованному  в получении данной информации (29).

Физический канал  утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному  в получении данной информации (36, с.62).

Технический канал  утечки - информация передается посредством  технических средств (29).

Формы воздействия  на лицо, являющее носителем защищаемых сведении, могут быть открытые и  скрытые (33).

Открытое воздействие  на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт (101, с.256).

Скрытое воздействие  на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно) (101, с.256).

Средствами неформального  воздействия владеющего (носителя) конфиденциальной информации для получения  от него определенных сведений через  открытый речевой канал являются - человек или группа людей, которые  взаимодействуют посредством: обещаний чего-то, просьбы, внушения (107, с.12).

В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию (91, с.239).

Скрытое воздействие  посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.

Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий (85, с.220).

Формы воздействия  на владеющего (носителя) конфиденциальной информации через физический канал  утечки могут быть также открытыми  и скрытыми.

Открытое воздействие  осуществляется посредством силового (физического) устрашения (побоев) либо силовое со смертельным исходом, после получения (побоев) либо силовое  со смертельным исходом, после получения  информации (95, с.78).

Скрытое воздействие  является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия (95, с.79). Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.

Следовательно, заинтересованный объект воздействует скрытно (опосредованно) на интересы и потребности человека, владеющего конфиденциальной информации.

Такое скрытое воздействие  может основываться на: страхе, шантаже, манипулировании фактами, взятке, подкупе, интиме, коррупции, убеждении, оказании услуг, заверении о будущем лица, являющегося носителем конфиденциальной информации. (94, с.87)

Форма воздействия  на владеющего (носителя) конфиденциальной информации по техническим каналам  также может быть открытой и скрытой.

Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.

К скрытым средствам  можно отнести: прослушивание с  использованием технических средств, просмотр с экрана дисплея и других средств ее отображения, несанкционированный  доступ к ПЭВМ и программно-техническим  средствам.

Все рассмотренные  средства воздействия независимо от их форм, оказывают неформальное воздействие  на лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения  конфиденциальной информации (72).

Возможность манипулирования  индивидуальными особенностями  владеющего (носителя) конфиденциальной информацией его социальными  потребностями с целью ее получения  обязательно необходимо учитывать  при расстановке, подборе кадров и проведении кадровой политики при  организации работ с конфиденциальной информацией.

Следует всегда помнить, что факт документирования информации (нанесения на какой-либо материальный носитель) увеличивает риск угрозы утечки информации. Материальный носитель всегда легче похитить, при этом присутствует высокая степень того, что нужная информация не искажена, как это бывает при разглашении  информации устным способом.

Угрозы сохранности, целостности и секретности конфиденциальности) информации ограниченного доступа  практически реализуются через  риск образования каналов несанкционированного получения (добывания) злоумышленником  ценной информации и документов. Эти  каналы представляет собой совокупность незащищенных или слабо защищенных организацией направлений возможной  утечки информации, которые злоумышленник  использует для получения необходимых  сведений, преднамеренного незаконного  доступа к защищаемой и охраняемой информации.

Каждое конкретное предприятие обладает своим набором  каналов несанкционированного доступа  к информации, в этом случае идеальных  фирм не существует.

Данное, зависит от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации (составляющей государственную тайну, либо какую  другую тайну - служебную, коммерческую, банковскую и т.д.); профессионального  уровня персонала, местоположения зданий и помещений и т.д.

Функционирование  каналов несанкционированного доступа  к информации обязательно влечет за собой утечку информации, а также  исчезновение ее носителя.

Если речь идет об утечке информации по вине персонала, используется термин "разглашение  информации". Человек может разглашать информацию устно, письменно, снятием  информации с помощью технических средств (копиров, сканеров и т.п.), с помощью жестов, мимики, условных сигналов. И передавать ее лично, через посредников, по каналам связи и т.д. (56, с.458).

Утечка (разглашение) информации характеризуется двумя  условиями:

1.  Информация  переходит непосредственно к  заинтересованному в ней лицу, злоумышленнику;

2.  Информация  переходит к случайному, третьему  лицу.

Под третьим лицом  в данном случае понимается любое  постороннее лицо, получившее информацию в силу обстоятельств, не зависящих  от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации (37, с.5). Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как "промокашка" для  перехвата необходимой информации.

Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать  непреднамеренным, стихийным, хотя при  этом факт разглашения информации имеет  место.

Непреднамеренный  переход информации к третьему лицу возникает в результате:

1.  Утери или  неправильного уничтожения документа  на каком-либо носителе, пакета  с документами, дела, конфиденциальных  записей;

2.  Игнорирования  или умышленного невыполнения  работником требований по защите  документированной информации;

3.  Излишней разговорчивости  работников при отсутствии злоумышленника - с коллегами по работе, родственниками, друзьями, иными лицами в местах  общего пользования: кафе, транспорте  и т.п. (в последнее время это  стало заметно с распространением  мобильной связи);

4.  Работы с  документированной информацией  с ограниченным доступом организации  при посторонних лицах, несанкционированной  передачи ее другому работнику;

5.  Использования  информации с ограниченным доступом  в открытых документах, публикациях,  интервью, личных записях, дневниках  и т.п.;

6.  Отсутствия  грифов секретности (конфиденциальности) информации на документах, нанесения  маркировки с соответствующими  грифами на технических носителях;

7.  Наличия в  текстах открытых документов  излишней информации с ограниченным  доступом;

8.  Самовольного  копирования (сканирования) работником  документов, в том числе электронных,  в служебных или коллекционных  целях.

В отличие от третьего лица злоумышленник или его сообщник целенаправленно добывают конкретную информацию и преднамеренно, незаконно  устанавливают контакт с источником этой информации или преобразуют  каналы ее объективного распространения  в каналы ее разглашения или утечки.

Организационные каналы утечки информации отличаются большим  разнообразием видов и основаны на установлении разнообразных, в том  числе законных, взаимоотношений  злоумышленника с предприятием или  сотрудниками предприятия для последующего несанкционированного доступа к  интересующей информации.

Основными видами организационных  каналов могут быть:

1.  Поступление  на работу злоумышленника на  предприятие, как правило, на  техническую или вспомогательную  должность (оператором на компьютере, экспедитором, курьером, уборщицей,  дворником, охранником, шофером и  т.п.);

2.  Участие в  работе предприятия в качестве  партнера, посредника, клиента, использование  разнообразных мошеннических способов;

3.  Поиск злоумышленником  сообщника (инициативного помощника), работающего в организации, который  становится его соучастником;

4.  Установление  злоумышленником доверительных  взаимоотношений с работником  организации (по совместным интересам,  вплоть до совместной пьянки  и любовных отношений) или постоянным  посетителем, сотрудником другой  организации, обладающим интересующей  злоумышленника информацией;

5.  Использование  коммуникативных связей организации  - участие в переговорах, совещаниях, выставках, презентациях, переписке,  включая электронную, с организацией  или конкретными ее работниками  и др.;

Информация о работе Защита конфиденциальной информации на предприятии