Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Для организации системы защиты на конкретном предприятии необходимо провести анализ источников и видов информации, требующих защиты, выполнить анализ угроз безопасности и возможные способы реализации угроз, а также выбрать соответствующие способы и средства защиты.
В самом общем виде решению такой задачи может помочь концептуальная модель защиты информации (см. рис.1).
Рис. 1. Концептуальная модель защиты информации
Схема в виде последовательных блоков представляет содержание системы обеспечения защиты информации. Рассмотрим последовательно каждый из блоков.
Источники информации. Источник информации — это материальный объект, обладающий определёнными сведениями (информацией), представляющей конкретный интерес для злоумышленников или конкурентов. Выделяются следующие категории источников:
· Люди (сотрудники, обслуживающий персонал, продавцы, клиенты и
т.д.)
· Документы различного характера и назначения.
· Публикации: доклады, статьи, интервью, проспекты, книги, специализированные периодические издания.
· Технические носители информации. Наиболее точное описание носителей дано в законе "О государственной тайне" " Носители сведений —
материальные объекты, в том числе физические поля, в которых сведения,
составляющие тайну, находят своё отображение в виде символов, образов,
сигналов, технических решений и процессов.
· Технические средства обработки информации, средства связи и
средства обеспечения производственной и трудовой деятельности.
· Выпускаемая продукция.
· Производственные и промышленные отходы.
Рассмотрим особенности источников с точки, зрения вероятности реализации угроз безопасности.
Люди как носители информации с точки зрения её защиты занимают особое место — как активные элементы, имеющие волевое начало, не только владеющие, но и обобщающие различные сведения. Поэтому необходим тщательный подбор персонала и анализ окружения..
Документы. Документ (документированная информация) - это информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать. К документированной относится информация не только на бумажных, но и на электронных носителях, в том числе и хранящаяся на жестком диске и в оперативной памяти ЭВМ. Для защиты документов организуется регламентируемое и контролируемое их движение.
Публикации. Например: "Коммерсант DAILY", "Деловой мир", "Финансовая Россия", "Деньги", "Финансовые известия", "Экономическая газета", "Обозреватель — Observer" и др. За рубежом: "Business Week", "Financial Times", "Wall Street Journal", Dun's Review", "Commerce & Business Daily", "Business Horizons" и др. По заключению западных специалистов более 60% секретной военной и 90% экономической информации можно получить из открытых источников. Поэтому обязательным подразделением службы безопасности предприятия является информационно-аналитический отдел, обрабатывающий открытую информацию.
Производственные и промышленные отходы. По мнению специалистов в области защиты информации "В мусорной корзине можно найти 1000$ банкнот." Поэтому при обработке конфиденциальной информации предъявляются особые требования к уничтожению документов, принтерных распечаток, копировальных лент и очистка оперативной памяти компьютеров и магнитных носителей.
Поэтому в обеспечении безопасности деятельности предприятия и эксплуатации ИС важно учитывать все угрозы, которые могут возникнуть со стороны источников информации.
Виды информации по условиям защиты. Статья 21 Закона РФ "Об информации, информатизации и защите информации" определяет, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб её собственнику, владельцу и иному лицу. Закон подразделяет информацию по уровню доступа на следующие категории: общедоступная, открытая информация, информация о гражданах (персональные данные) и конфиденциальная информация. Конфиденциальная информация — документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ. В свою очередь, документированная информация с ограниченным доступом по условиям её защиты подразделяется на информацию отнесённую к государственной тайне и конфиденциальную. К конфиденциальной информации относятся сведения, определяемые общим понятием — тайна. В законах встречается 32 вида тайн. Однако, обобщённый перечень сведений, отнесённых к разряду конфиденциальных, приводится в Указе Президента РФ №188 от 6.03.97 г.
Ø Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина, позволяющие идентифицировать его личность (персональные
данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами
случаях.
Ø Сведения, составляющие тайну следствия и судопроизводства.
Ø Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (служебная тайна).
Ø Сведения, связанные с профессиональной деятельностью, доступ к
которым ограничен в соответствии с Конституцией Российской Федерации
и федеральными законами (врачебная, нотариальная, адвокатская тайна,
тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Ø Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским Кодексом Российской
Федерации и федеральными законами (коммерческая тайна).
Ø Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Следует отметить, что согласно ст. 139 Гражданского Кодекса РФ к коммерческой тайне относятся сведения, представляющие потенциальную ценность для её обладателя в силу неизвестности третьим лицам. Здесь же определено, что обладатель коммерческой тайны должен сам предпринимать меры к её сохранности. Поэтому, с точки зрения обладателя коммерческой тайны, необходимо обеспечить защиту как документированной, так и недокументированной информации.
Ø Угрозы безопасности деятельности предприятий и информации подразделяются на внешние и внутренние. Их перечень обширен и для каждого предприятия индивидуален. Общими для всех являются угрозы стихийных бедствий, техногенных катастроф и деятельность людей - непреднамеренные ошибки персонала (нарушители) или преднамеренные действия (злоумышленники), приводящие к нарушениям безопасности. В Доктрине информационной безопасности России приводится следующий перечень угроз информационным системам:
Противоправный сбор и использование информации;
Ø Нарушения технологии обработки информации;
Ø Внедрение аппаратных и программных закладок, нарушающих
нормальное функционирование ИС;
Ø Создание и распространение вредоносных программ
Ø Уничтожение и повреждение ИС и каналов связи
Ø Компрометация ключей и средств криптографической защиты;
Ø Утечка информации по техническим каналам;
Ø Внедрение устройств для перехвата информации;
Ø Хищение, повреждение, уничтожение носителей информации;
Ø Несанкционированный доступ в ИС, базы и банки данных.
Дата публикования: 2015-02-18; Прочитано: 1820 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!