Делопроизводство. Информационная безопасность в системе делопроизводств

Содержание

 

Введение…………………………………………………….…………….. 3

1. Теоретические аспекты информационной безопасности…………… 5

2. Понятие информационных угроз и их виды…………………………. 9

3. Принципы построения системы информационной безопасности…. 14

4. Организация системы защиты информации………………………… 24

Заключение………………………………………………………………. 32

Список использованных источников…………………………………... 33

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Современное общество – это цивилизация, в основе развития и существования которой лежит особая нематериальная субстанция, условно именуемая «информацией», обладающая свойством взаимодействия, как с духовным, так и с материальным миром человека.

Информация – это  та субстанция, которая сопровождает нас всю жизнь. Информация позволяет  человеку познавать мир и ощущать себя его частью, общаться с другими людьми, воспитывать детей, решать бытовые проблемы, заниматься хозяйственной деятельностью, творческим трудом.                          С помощью информации организуется совместный труд людей, образовываются профессиональные союзы, коллективные хозяйства, политические партии и объединения. Без информации не может развиваться экономика. На основе информации принимаются решения о том, как правильно собирать налоги и их расходовать, вести борьбу с организованной преступностью и коррупцией. Одним словом, информация является основой деятельности органов законодательной, исполнительной и судебной властей, всей системы государственного управления, управления Вооруженными Силами.

Таким образом, с одной стороны, информация формирует материальную среду жизнедеятельности социума, выступая в роли инновационных технологий, компьютерных программ, телекоммуникационных протоколов и т. п., а с другой служит основным средством межличностных и межгосударственных взаимоотношений.

Информационная безопасность является категорией исторической. Угрозы информационной безопасности и способы защиты информации и информационных  ресурсов постоянно меняются, как меняются во времени и пространстве наше общество и технологии. Очень важно понять это обстоятельство, чтобы выработать правильный подход к обеспечению информационной безопасности как процесса, опережающего управление, а не следующего за ним.

Цель курсового исследования – анализ понятия и основных направлений  информационной безопасности в системе делопроизводства.

Задачи исследования:

1. Рассмотреть теоретические аспекты информационной безопасности;

2. Дать определение  понятию информационных угроз и их видам;

3. Раскрыть принципы построения системы информационной безопасности;

4. Показать особенности организации системы защиты информации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. Теоретические  аспекты информационной безопасности

 

Информация является важным объектом делопроизводства в современном обществе. Технологическая революция в области информации, начавшаяся в последней трети ХХ века и продолжающаяся до сих пор, определила появление таких явлений как «информационные войны» и «информационный терроризм».  Поэтому важное место в политике национальной безопасности в настоящее время занимает информационная безопасность.

Вообще, технологическая  революция в области информации связана, прежде всего, с развитием кибернетики, которое привело к созданию информационных систем управления. Вслед за этим повсеместно в массовом порядке стали внедряться персональные компьютеры, что в свою очередь повлекло за собой ускоренные темп развития телекоммуникационных технологий. Затем персональные компьютеры стали объединять в компьютерные сети, вначале локальные, а затем и глобальные. Одновременно с колоссальным ростом популярности Интернета возникает беспрецедентная опасность разглашения персональных данных, критически важных корпоративных ресурсов. Кроме того, с каждым днем растет объем деловых операций, совершаемых через Интернет. Повышение информационной безопасности становится неотложной задачей, решения которой в равной мере требуют и конечные пользователи, и                    компании [13, c. 7].

Информация превратилась в одно из важнейших средств воздействия  на общественные отношения, стала одним  из ценнейших товаров. Любой же товар требует защиты, особенной защиты требует такой  «нематериальный» товар как информация. Именно поэтому информационная безопасность в настоящее время является одной из самых развивающихся областей современной науки. Это в равной степени относится как к технической, так и правовой стороне вопроса, касающегося информационной безопасности.

Существует довольно много определений понятия «безопасность». Чаще всего безопасность трактуют как такое состояние, когда нет опасности, т.е. «факторов и условий, угрожающих существованию непосредственно индивиду или его сообществу в форме семьи, населенного пункта или государства» [3, c. 45]. Безопасность довольно часто трактуется как способность объекта сохранять при наличии деструктивных, дезорганизующих воздействий (внешних и/или внутренних) свои важнейшие, системообразующие свойства, основные характеристики и параметры, потеря которых может привести к тому, что объект утрачивает свою сущность, перестает быть самим собой [8, c. 10]. Ряд исследователей под безопасностью понимает систему гарантий, обеспечивающую явлению его нормальное развитие.

Информационная безопасность —  состояние информационной среды, обеспечивающее удовлетворение информационных потребностей субъектов информационных отношений, безопасность информации и защиту субъектов от негативного информационного воздействия. Информационная среда, понимаемая как сфера деятельности субъектов, связанная с созданием, преобразованием и потреблением информации, выступает в данном контексте как мета-объект защиты.

Понятие «информационная безопасность» взаимосвязано с понятием «безопасность информации». Довольно часто их используют как синонимы. Но, как известно, «безопасность» не существует сама по себе, безотносительно к объекту, «без определения объекта понятие «безопасность» является неопределенным, лишенным внутреннего смысла» [8, c. 11]. Выбор объекта безопасности предопределяет содержание понятия «безопасность». Поэтому, если в качестве объекта защиты выступает собственно информация, то понятия «информационная безопасность» и «безопасность информации» действительно становятся синонимами. Но, если в качестве объекта защиты рассматривается некий объект (субъект) — участник информационных отношений, то слово »информационная» в термине «информационная безопасность» указывает на направление деятельности, посредством которой может быть причинен вред объекту защиты и понятие »информационная безопасность» в этом случае следует трактовать как состояние защищенности данного объекта от угроз информационного характера. С.П.Расторгуев, характеризуя современное состояние проблемы, пишет: «В результате проблема защиты информации, которая ранее была как никогда актуальна, перевернулась подобно монете, что вызвало к жизни ее противоположность — защиту от информации. Теперь уже саму информационную систему и, в первую очередь человека,- необходимо защищать от поступающей «на вход» информации, потому что любая поступающая на вход самообучающейся системы информация неизбежно изменяет систему. Целенаправленное же деструктивное информационное воздействие может привести систему к необратимым изменениям и, при определенных условиях, к самоуничтожению» [2]. Безопасность информации при этом должна рассматриваться как составная часть общей проблемы обеспечения безопасности объекта защиты, причем не самой главной, а лишь в той части, в которой необеспечение безопасности информации, имеющей отношение к объекту защиты, может нанести ему вред, который, в свою очередь, может привести к нарушению его структурной целостности и функциональной цельности.

В нашей стране основное внимание общественности сконцентрировано исключительно на проблеме защиты информации. Такое положение сложилось в  силу многих обстоятельств. В первую очередь, это обусловлено очевидностью. Информация стала товаром, а товар  нужно защищать. Вполне естественно, что первыми на себе это ощутили представители кредитно-финансовой сферы, где информация – это деньги, а деньги – это информация. Утекла информация – утекли деньги. Все предельно просто и очевидно и, что немаловажно, ущерб имеет материальное выражение, подлежащее счету. Наличие финансовых возможностей позволило кредитно-финансовому сектору привлечь к решению вопросов обеспечения защиты своей информации лучших специалистов, сконцентрировав их внимание на узкоспециализированных направлениях. Во вторую очередь — профессиональной подготовкой специалистов, первыми осознавших остроту проблемы. Подавляющее большинство из них – представители технических специальностей. Но и этими специалистами безопасность самой информации понимается неоднозначно. Как правило, она трактуется как защищенность установленного статус-кво информации от внутренних и внешних угроз; от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.; от случайных или преднамеренных несанкционированных воздействий на информацию или несанкционированного ее получения; от случайного или преднамеренного доступа лиц, не имеющих права на получение информации, ее раскрытие, и др. Значительно реже безопасность информации рассматривается с точки зрения изначальной полноты и надежности информации.

Информационная безопасность включает три составляющие [8, c. 13]: удовлетворение информационных потребностей субъектов; обеспечение безопасности информации; обеспечение защиты субъектов информационных отношений от негативного информационного воздействия.

 

 

 

 

 

 

 

 

 

 

2. Понятие информационных  угроз и их виды

 

Под угрозой  безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства. Если ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации. Если информация изменяется или уничтожается с потерей ее ценности, то реализуется угроза целостности информации. Если информация вовремя не поступает легальному пользователю, то ценность ее уменьшается и со временем полностью обесценивается, тем самым угроза оперативности использования или доступности информации [5, c. 58].

Итак, реализация угроз  информационной безопасности заключается  в нарушении конфиденциальности, целостности и доступности информации. Злоумышленник может ознакомиться с конфиденциальной информацией, модифицировать ее, или даже уничтожить, а также ограничить или блокировать доступ легального пользователя к информации. При этом злоумышленником может быть как сотрудник организации, так и постороннее лицо.

Информационные угрозы могут быть обусловлены [5, c. 60]:

• естественными факторами (стихийные бедствия – пожар, наводнение, ураган, молния и другие причины);
• человеческими факторами. Последние, в свою очередь, подразделяются на:

– угрозы, носящие случайный, неумышленный характер. Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной «утечкой умов», знаний, информации. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонент (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.) с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);

– угрозы, обусловленные  умышленными, преднамеренными действиями людей. Это угрозы, связанные с  передачей, искажением и уничтожением данных по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной «утечкой умов». Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение носителей информации: дискет, описаний, распечаток и др.).

Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым  она была доверена по службе или  стала известна в процессе работы. Эта утечка может быть следствием: разглашения конфиденциальной информации; ухода информации по различным, главным образом техническим, каналам; несанкционированного доступа к конфиденциальной информации различными способами [12, c. 10].

Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Возможен бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

Виды угроз конфиденциальных документов в документопотоках организации  можно разделить на несколько  групп [16, c. 31]:

1. Несанкционированный доступ постороннего лица к документам, делам, базам данных за счет его любопытства или обманных, провоцирующих действий, а так же случайных или умышленных ошибок персонала фирмы;

2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;

3. Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;

4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также  сокрытия факта утери, хищения;

5. Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;

6. Гибель документов в условиях экстремальных ситуаций.

Для электронных документов угрозы особенно реальны, так как факт кражи информации практически трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения угроз, по мнению ряда специалистов, классифицируется по степени риска следующим образом:

• Непреднамеренные ошибки пользователей, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;

• Кражи и подлоги информации;

• Стихийные ситуации внешней среды;

• Заражение вирусами.

В соответствии с характером указанных выше угроз формируется задачи обеспечения защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной информации от возможных  опасностей является формирование защищенного документооборота и использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя [4, c. 107-108].

Таким образом, безопасность – это не только защита от преступных посягательств, но и обеспечение сохранности (особенно электронных) документов и информации, а также меры по защите важнейших документов, и обеспечению непрерывности и/или восстановлению деятельности в случае катастроф.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно- технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. Организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей. Должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учета, хранения и уничтожения конфиденциальной документов организации.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3. Принципы построения  системы информационной безопасности

 

Информационная сфера  в настоящее время стала системообразующим  фактором жизни общества, и чем  активней эта сфера общественных отношений развивается, тем больше политическая, экономическая, оборонная и другие составляющие национальной безопасности любого государства будут зависеть от информационной безопасности, и в ходе развития технического прогресса эта зависимость будет все более  возрастать.

Необходимость информационной безопасности обусловлена следующими особенностями современной социально-политической ситуации в нашей стране и мировом сообществе [6].

Во-первых, в новых условиях резко  расширившихся возможностей по реализации конституционных прав граждан на свободу экономической, интеллектуальной и других видов деятельности существенно увеличились потребности социально активной части общества в информационном взаимодействии как внутри страны, так и с внешним миром.

Во-вторых, интенсивное развитие информационной инфраструктуры, интеграция в мировое информационное пространство усилили зависимость эффективности функционирования общества и государства от состояния информационной сферы.

В-третьих, индустрия информатизации и информационных услуг стала  одной из наиболее динамично развивающихся сфер мировой экономики, способной на равных конкурировать по доходности с топливно-энергетическим комплексом, автомобилестроением, производством сельскохозяйственной продукции.

Наконец, и это особенно важно  подчеркнуть, информационная инфраструктура, информационные ресурсы стали ареной межгосударственной борьбы за мировое лидерство, достижение противоборствующими странами определенных стратегических и тактических политических целей.

За последние годы в Республике Беларусь реализован определенный комплекс практических мер по укреплению информационной безопасности страны. Так, начато формирование нормативной правовой базы обеспечения информационной безопасности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти [7].

Созданы государственные системы  защиты государственной тайны и  информации, системы лицензирования деятельности организаций в области  защиты информации и системы сертификации средств защиты            информации.

Вместе с тем анализ состояния  информационной безопасности Республике Беларусь показывает, что ее уровень  не в полной мере соответствует современным  потребностям общества и государства.

Прежде всего, нормативная правовая база обеспечения информационной безопасности не охватывает всего круга проблем в этой области, а в отдельных вопросах просто противоречива [15, c. 4].

Другая проблема связана  с отставанием отечественных  информационных и телекоммуникационных технологий, что вынуждает органы государственной власти при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм. Вследствие этого повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость Беларуси от иностранных производителей компьютерной и телекоммуникационной техники. В то же время из-за отсутствия необходимого финансирования низки темпы работ по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти, не обеспечивается в необходимых объемах производство сертифицированных средств защиты информации, включая отечественные защищенные операционные системы и прикладные программные средства [7].

Узким местом является и  недостаточная проработка региональных проблем информационной безопасности, отсутствие необходимой координации  деятельности государственных и  региональных органов государственной  власти, государственных и негосударственных  организаций в этой области. Следует отметить, что первыми это ощутили и осознали сами регионы, а некоторые из них в последнее время стали предпринимать определенные практические шаги в этом направлении. Однако эти действия пока осуществляются без должной координации [3, c. 3-5].

По способам осуществления  все меры защиты информации, ее носителей  и систем ее обработки подразделяются на: правовые (законодательные); морально-этические; технологические; организационные (административные и процедурные); физические; технические (аппаратурные и программные).

К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы [7].

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведет обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала [7].

К технологическим мерам защиты относятся разного рода технологические решения и приемы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщении в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.

Организационные меры защиты – это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.) [7].

Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.

Взаимосвязь рассмотренных выше мер  обеспечения безопасности приведена  на рисунке 1.

Рис. 1. Взаимосвязь мер обеспечения  информационной безопасности

1 - Нормативные и организационно-распорядительные документы составляются с учетом и на основе существующих норм морали и этики.

2 - Организационные меры обеспечивают  исполнение существующих нормативных  актов и строятся с учетом  существующих правил поведения, принятых в стране и/или организации

3 - Воплощение организационных  мер требует разработки соответствующих  нормативных и организационно-распорядительных  документов 

4 - Для эффективного применения  организационные меры должны  быть поддержаны физическими и техническими средствами

5 - Применение и использование  технических средств защиты требует  соответствующей организационной  поддержки. 

 

Построение системы  обеспечения безопасности информации в системе делопроизводства и ее функционирование должны осуществляться в соответствии со следующими основными принципами: законность, системность, комплексность, непрерывность, своевременность, преемственность и непрерывность совершенствования, разумная достаточность, персональная ответственность, разделение функций, минимизация полномочий, взаимодействие и сотрудничество, гибкость системы защиты, открытость алгоритмов и механизмов защиты, простота применения средств защиты, научная обоснованность и техническая реализуемость, специализация и профессионализм, взаимодействие и координация, обязательность контроля [6].

Законность предполагает осуществление защитных мероприятий и разработку системы безопасности информации в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности, утвержденных органами государственной власти в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией.

Системный подход к защите информации в системе делопроизводства предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности в системе делопроизводства.

При создании системы  защиты должны учитываться все слабые и наиболее уязвимые места системы  обработки информации, а также  характер, возможные объекты и  пути проникновения в распределенные системы и НСД к информации.

Комплексное использование  методов и средств защиты предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Внешняя защита должна обеспечиваться физическими средствами, организационными, технологическими и правовыми мерами.

Одним из наиболее укрепленных  рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС). Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.