Информационная безопасность и архивы

Федеральное агентство по образованию 

Федеральное государственное образовательное  учреждение

высшего профессионального образования

«Чувашский  государственный университет имени  И.Н.Ульянова» 
 
 
 

Историко-географический факультет 

Кафедра архивоведения и документоведения 
 

Курсовая  работа

    на  тему: «Информационная безопасность и архивы». 
     
     
     
     
     

Выполнила: студентка группы ИФ- 32-07

Вахитова  Л.И.

Проверил: к.и.н., ст. преп. Матюшин П.Н. 
 
 

Чебоксары 2009

Содержание.

Введение.

Глава 1. Основные формы использования информации и угрозы ее безопасности.

    1. Формы и сферы использования информации.
    2. Виды угроз в системе информационной безопасности.
    3. Регулирование ограничения использования информации.

Глава 2. Основные проблемы информационной безопасности и методика их решения.

2.1.     Основное содержание проблем безопасности архивных учреждений.

2.2.     Создание и использование страхового фонда в архивах.

2.3. Перспективы совершенствования системы информационной безопасности архивных учреждений.

Заключение.

Список  источников и литературы.

 

       Введение.

      В литературе можно найти достаточно много определений термина «информация», отражающих различные подходы к толкованию этого понятия. В Федеральном законе Российской Федерации «Об информации, информационных технологиях и защите информации» дается следующее определение: «информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления».1

      Толковый  словарь русского языка Ожегова  приводит 2 определения слова «информация»:

  1. Сведения об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством.
  2. Сообщения, осведомляющие о положении дел, о состоянии чего-нибудь. (Научно-техническая и газетная информации, средства массовой информации – печать, радио, телевидение, кино)2.

      Любые способы утечки конфиденциальной информации могут привести к значительному  материальному и моральному ущербу как для организаций, учреждений, предприятий, где функционирует  информационная система, так и для  их пользователей.

      Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных  или злонамеренных воздействий, результатом которых может явиться  нанесение ущерба самой информации и ее владельцам.3 Информационная безопасность организации, учреждения, предприятия – состояние защищенности информационной среды, обеспечивающее её формирование, использование и развитие.4

      Цель  данной курсовой работы – определить основные угрозы безопасности информации, выделить основные проблемы информационной безопасности архивов.

      В связи с этим были сформулированы следующие задачи:

  1. Определить понятия «информации», «информационной безопасности»;
  2. Провести анализ угроз для правильного проектирования схем информационной безопасности;
  3. Установить основные проблемы информационной безопасности архивов и определить перспективы совершенствования системы информационной безопасности архивных учреждений.

      Цель  и задачи курсовой работы обусловили выбор ее структуры. Курсовая работа состоит из введения, двух частей, заключения и списка использованных при написании работы литературы и источников.

      В первой части работы изучены основные формы использования информации и угрозы ее безопасности, во второй части - основные проблемы информационной безопасности и методика их решения, а в заключении подведены основные итоги курсовой работы.

      В ходе работы были использованы следующие источники и литература.

      Определения, необходимые при написании работы содержатся в Конституции РФ5, Федеральном Законе (далее ФЗ) «Об информации, информационных технологиях и о защите информации»6, ФЗ «Об архивном деле в РФ»7, Приказе Росархива «О хищении документов в РГАЛИ»8, ФЗ «О государственной тайне»9, ФЗ «О персональных данных»10, «Доктрине информационной безопасности»11. Они были взяты в качестве нормативно-правовой базы.

      Из  словаря Ожегова было взято определение  информации12. Статьи Афиани13, Тарасова14, Шабановой15 оказали свое влияние при написании главы, посвященной основным проблемам информационной безопасности и методике их решения. В них сформулированы основные проблемы информационной безопасности в архивных учреждениях в процессе использования документов. Учебник Алексеевой, Афанасьевой16, а так же Ларькова17 дают определение страхового фонда, его использование в архивах.

 

      Глава 1. Основные формы использования информации и угрозы ее безопасности.

§1.1. Формы и сферы  использования информации.

      Информация  может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.18

      Информация  в зависимости от категории доступа  к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

      Информация  в зависимости от порядка ее предоставления или распространения подразделяется на:

      1) информацию, свободно распространяемую;

      2) информацию, предоставляемую по  соглашению лиц, участвующих в  соответствующих отношениях;

      3) информацию, которая в соответствии  с федеральными законами подлежит  предоставлению или распространению;

      4) информацию, распространение которой  в Российской Федерации ограничивается или запрещается19.

      Информация  является важным объектом правоотношений в современном обществе.20 С появлением новых видов вычислительной техники и связи создало новые возможности для включения информации в хозяйственный оборот и распространения на нее статуса товара. Информация превратилась в одно из важнейших средств воздействия на общественные отношения, стала одним из ценнейших товаров. Информация также является важнейшим политическим ресурсом, в том числе и в международном масштабе. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.21

      В сфере экономики: системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности. В системах сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации наиболее опасны противоправное копирование информации и ее искажение вследствие преднамеренных или случайных нарушений технологии работы с информацией, несанкционированного доступа к ней. Это касается и федеральных органов исполнительной власти, занятых формированием и распространением информации о внешнеэкономической деятельности Российской Федерации22.

      В сфере внутренней политики необходимо отметить конституционные права  и свободы человека и гражданина на достоверную информацию:

      - о конституционном строе, национальное  согласие, стабильность государственной  власти, суверенитет и территориальная  целостность Российской Федерации;

      - об открытых информационных ресурсах  федеральных органов исполнительной  власти и средств массовой информации23.

      В сфере внешней политики к наиболее важным объектам обеспечения информационной безопасности Российской Федерации  можно отнести:

      - информационные ресурсы федеральных  органов исполнительной власти, реализующих внешнюю политику Российской Федерации, российских представительств и организаций за рубежом, представительств Российской Федерации при международных организациях;

      - информационные ресурсы представительств  федеральных органов исполнительной  власти, реализующих внешнюю политику Российской Федерации, на территориях субъектов Российской Федерации;

      - информационные ресурсы российских  предприятий, учреждений и организаций,  подведомственных федеральным органам  исполнительной власти, реализующим  внешнюю политику Российской  Федерации24.

      В области науки и техники наиболее важными объектами обеспечения  информационной безопасности Российской Федерации в области науки  и техники являются:

      - результаты фундаментальных, поисковых  и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;

      - научно-технические кадры и система  их подготовки;

      - специальная информация.25

      Обеспечение информационной безопасности Российской Федерации в сфере духовной жизни  имеет целью защиту конституционных  прав и свобод человека и гражданина, связанных с развитием, формированием  и поведением личности, свободой массового  информирования, использования культурного, духовно-нравственного наследия, исторических традиций и норм общественной жизни, с сохранением культурного достояния всех народов России, реализацией конституционных ограничений прав и свобод человека и гражданина в интересах сохранения и укрепления нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала Российской Федерации, обеспечения обороноспособности и безопасности государства. К числу основных объектов обеспечения информационной безопасности Российской Федерации в сфере духовной жизни относятся:

      - достоинство личности, свобода совести,  включая право свободно выбирать, иметь и распространять религиозные  и иные убеждения и действовать  в соответствии с ними, свобода  мысли и слова, а также свобода литературного, художественного, научного, технического и других видов творчества, преподавания;

      - свобода массовой информации;

      - неприкосновенность частной жизни,  личная и семейная тайна;

      - ухудшение состояния и постепенный  упадок объектов российского культурного наследия, включая архивы, музейные фонды, библиотеки, памятники архитектуры, ввиду недостаточного финансирования соответствующих программ и мероприятий26.

      В общегосударственных информационных и телекоммуникационных системах основными объектами обеспечения информационной безопасности Российской Федерации в общегосударственных информационных и телекоммуникационных системах являются:

      - информационные ресурсы, содержащие  сведения, отнесенные к государственной  тайне, и конфиденциальную информацию;

      - средства и системы информатизации (средства вычислительной техники,  информационно-вычислительные комплексы,  сети и системы), программные средства (операционные системы, системы  управления базами данных, другое  общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу информации ограниченного доступа, их информативные физические поля;

      - технические средства и системы,  обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается информация ограниченного доступа, а также сами помещения, предназначенные для обработки такой информации.27

      В правоохранительной и судебной сферах к наиболее важным объектам информации относятся:

      - информационные ресурсы федеральных  органов исполнительной власти, реализующих правоохранительные  функции, судебных органов, их  информационно-вычислительных центров,  научно-исследовательских учреждений  и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;

      - информационно-вычислительные центры, их информационное, техническое,  программное и нормативное обеспечение.

      - установленный регламент сбора,  обработки, хранения и передачи  информации, содержащейся в картотеках и автоматизированных банках данных и использующейся для расследования преступлений28.

 

§1.2. Виды угроз в системе  информационной безопасности.

      Для того чтобы организовать безопасное хранение данных, первым делом нужно  провести анализ угроз, для правильного проектирование схем информационной безопасности.29

      Угрозы  информационной безопасности делятся  на два основных типа – это естественные и искусственные угрозы. К естественным угрозам относятся пожары, наводнения, ураганы, удары молний и другие стихийные бедствия и явления, которые не зависят от человека. Наиболее частыми среди этих угроз являются пожары. Для обеспечения безопасности информации, необходимым условием является оборудование помещений, в которых находятся элементы системы (носители цифровых данных, серверы, архивы и пр.), противопожарными датчиками, назначение ответственных за противопожарную безопасность и наличие средств пожаротушения. Соблюдение всех этих правил позволит свести к минимуму угрозу потери информации от пожара.

      Если  помещения с носителями ценной информации располагаются в непосредственной близости от водоемов, то они подвержены угрозе потери информации вследствие наводнения. Единственное что можно  предпринять в данной ситуации –  это исключить хранение носителей информации на первых этажах здания, которые подвержены затоплению.

      Еще одной естественной угрозой являются молнии. Очень часто при ударах молнии выходят из строя сетевые  карты, электрические подстанции и  другие устройства. Особенно ощутимые потери, при выходе сетевого оборудования из строя, несут крупные организации и предприятия, такие как банки. Во избежание подобных проблем необходимо соединительные сетевые кабели были экранированы (экранированный сетевой кабель устойчив к электромагнитным помехам), а экран кабеля следует заземлить. Для предотвращения попадания молнии в электрические подстанции, следует устанавливать заземленный громоотвод, а компьютеры и серверы комплектовать источниками бесперебойного питания.

      Следующим видом угроз являются искусственные угрозы, которые в свою очередь, делятся на непреднамеренные и преднамеренные угрозы. Непреднамеренные угрозы – это действия, которые совершают люди по неосторожности, незнанию, невнимательности или из любопытства. К такому типу угроз относят установку программных продуктов, которые не входят в список необходимых для работы, и в последствии могут стать причиной нестабильной работы системы и потеря информации. Сюда же можно отнести и другие «эксперименты», которые не являлись злым умыслом, а люди, совершавшие их, не осознавали последствий. К сожалению, этот вид угроз очень трудно поддается контролю, мало того, чтобы персонал был квалифицирован, необходимо чтобы каждый человек осознавал риск, который возникает при его несанкционированных действиях.

      Преднамеренные угрозы – угрозы, связанные со злым умыслом преднамеренного физического разрушения, впоследствии выхода из строя системы. К преднамеренным угрозам относятся внутренние и внешние атаки. Вопреки распространенному мнению, крупные компании несут многомиллионные потери зачастую не от хакерских атак, а по вине своих же собственных сотрудников. Современная история знает массу примеров преднамеренных внутренних угроз информации – это проделки конкурирующих организаций, которые внедряют или вербуют агентов для последующей дезорганизации конкурента, месть сотрудников, которые недовольны заработной платой или статусом в фирме и прочее. Для того чтобы риск таких случаев был минимален, необходимо, чтобы каждый сотрудник организации соответствовал, так называемому, «статусу благонадежности».

      К внешним преднамеренным угрозам  можно отнести угрозы хакерских  атак. Если информационная система  связана с глобальной сетью интернет, то для предотвращения хакерских  атак необходимо использовать межсетевой экран, который может быть, как встроен в оборудование, так и реализован программно.

      Существуют  четыре действия, производимые с информацией, которые могут содержать в  себе угрозу: сбор, модификация, утечка и уничтожение. Эти действия являются базовыми для дальнейшего рассмотрения.

      Разделяют все источники угроз на внешние  и внутренние.

      Источниками внутренних угроз являются:

      1. Сотрудники организации;

      2. Программное обеспечение;

      3. Аппаратные средства.

      Внутренние  угрозы могут проявляться в следующих  формах:

      -ошибки  пользователей и системных администраторов;

      -нарушения  сотрудниками фирмы установленных  регламентов сбора, обработки,  передачи и уничтожения информации;

      -ошибки  в работе программного обеспечения;

      -отказы  и сбои в работе компьютерного  оборудования.

      К внешним источникам угроз относятся:

      1. Kомпьютерные вирусы и вредоносные  программы;

      2. Организации и отдельные лица;

      3. Стихийные бедствия.

      Формами проявления внешних угроз являются:

      -заражение  компьютеров вирусами или вредоносными  программами;

      -несанкционированный  доступ (НСД) к корпоративной информации;

      -действия  государственных структур и служб,  сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;

      -аварии, пожары, техногенные катастрофы.30

      По  способам воздействия на объекты  информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.31

      К информационным угрозам относятся:

      -несанкционированный  доступ к информационным ресурсам;

      -незаконное  копирование данных в информационных системах;

      -хищение  информации из библиотек, архивов,  банков и баз данных;

      -нарушение  технологии обработки информации;

      -противозаконный  сбор и использование информации;

      -утечка конфиденциальной информации;

      К программным угрозам относятся:

      -компьютерные вирусы и вредоносные программы;

      -установка  «закладных» устройств;

      К физическим угрозам относятся:

      -уничтожение  или разрушение средств обработки  информации и связи;

      -хищение  носителей информации;

      -хищение  программных или аппаратных ключей  и средств криптографической  защиты данных;

      -воздействие на персонал;

      К радиоэлектронным угрозам относятся:

      -внедрение  электронных устройств перехвата  информации в технические средства  и помещения;

      -перехват, расшифровка, подмена и уничтожение  информации в каналах связи.

      К организационно-правовым угрозам относятся:

      -закупки  несовершенных или устаревших  информационных технологий и  средств информатизации;

      -нарушение  требований законодательства и  задержка в принятии необходимых  нормативно-правовых решений в  информационной сфере32.

      Законодательно  запрещено подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются госорганы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к Интернету33.

      К основным угрозам безопасности информации и нормального функционирования информационной системы относятся:

       компрометация информации;

       отказ от информации;

       нарушение информационного обслуживания;

       незаконное использование привилегий.

      Утечка  конфиденциальной информацииэто бесконтрольный выход конфиденциальной информации за пределы информационной системы или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

       разглашения конфиденциальной информации;

      ухода информации по различным, главным образом техническим, каналам;

      несанкционированного доступа к конфиденциальной информации различными способами.

      Разглашение информации ее владельцем или обладателем есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.34

      Возможен  бесконтрольный уход конфиденциальной информации по визуально-оптическим, акустическим, электромагнитным и другим каналам.

      Несанкционированный доступэто противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.35 Наиболее распространенными путями несанкционированного доступа к информации являются:

       перехват электронных излучений;

       принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;

       применение подслушивающих устройств (закладок);

       дистанционное фотографирование;

       перехват акустических излучений и восстановление текста принтера;

       копирование носителей информации с преодолением мер защиты

       маскировка под зарегистрированного пользователя;

       маскировка под запросы системы;

Информационная безопасность и архивы