Организация защиты конфиденциальной информации СВТ

ОГЛАВЛЕНИЕ

Введение

В данной курсовой работе мы подробно рассмотрим проблему защиты информации средствами вычислительной техники, причины возникновения данной темы, законодательные и правовые аспекты и пути решения.

Данная проблема особенно актуальна в наши дни, когда информация является чуть ли на самым ценным товаром в мире. Сама проблема защиты информации от несанкционированного доступа и внешних воздействий на нее возникла тогда, когда индивиду по каким-либо причинам не хотелось, чтобы аналогичной информацией владел другой индивид. С развитием общества, появлением государства, частной собственности, борьбой за власть, развитием промышленного производства и технологий и дальнейшим расширением масштабов человеческой деятельности информация начала приобретать цену. Нужной стала та информация, обладание которой позволяло человеку, который ей владел получить какой-либо бонус: материальный или политический. Поэтому такое широкое распространение в мире получили компании и отдельные индивиды, занимающиеся так называемой «добычей» информации. Шпионские скандалы преследуют человечество уже не один век. В ответ на сложившуюся тенденцию возникла необходимость защищать информацию, как на уровне частного лица, так и на уровне государства.

Теоретической базой для исследования послужили труды наших и зарубежных учёных: В.А. Герасименко, С.Н. Гриняева, В.И. Аникина, Б. Гейтса, У.С. Бека, А. Тоффлера.

Целью исследования является выявление особенностей организации защиты конфиденциальной информации средствами вычислительной техники и путей его совершенствования на современных предприятиях.

Задачами данного исследования являются:

1. Раскрыть теоретическую сущность организации защиты конфиденциальной информации средствами вычислительной техники
2. Произвести оценку опыта организации защиты конфиденциальной информации средствами вычислительной техники в современных условиях
3. Предложить основные направления на совершенствование компании защиты конфиденциальной информации средствами вычислительной техники.

Объектом исследования в данной курсовой работе является организация защиты конфиденциальной информации в современным условиях.

Предметом исследования данной курсовой работы является организация защиты информации средствами вычислительной техники на реально действующем предприятии. В качестве предприятия взято ООО «Ресурс».

Методами исследования являются: анализ, синтез и наблюдение.

Информационной базой при написания данной курсовой работы послужили информационные ресурсы Интернет-порталов, руководящие документы, сведения из книг, законодательные акты и нормативные документы.

1. ТЕОРИТИЧЕСКИЕ И ЗАКОНОДАТЕЛЬНЫЕ ОСНОВЫ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

1.1 Теоретическая сущность организации защиты конфиденциальной информации средствами вычислительной техники

Под системой обработки и хранения конфиденциальной информации (документов) с использованием средств вычислительной техники понимается комплекс мероприятий, включающий в себя организационные, технологические и иные процедуры и операции, предназначенные для обеспечения сохранности и целостности информации компании.

Порядок обработки и хранения документов открытого доступа и документов, имеющих ту или иную категорию секретности, основывается на единой научной и методической основе, призванной решать задачи обеспечения необходимой информацией организационные и управленческие процессы деятельности компании. В то же время система обработки и хранения конфиденциальных документов при помощи вычислительной техники решает и другую не менее важную задачу - обеспечение защиты носителей информации и самой информации от потенциальных и реальных угроз их безопасности.

В зависимости от масштаба деятельности компании методы и средства обеспечения информационной безопасности могут различаться. Но любой грамотный руководитель компании или IT-специалист скажет, что любая проблема в области информационной безопасности не решается односторонне. К решению данной проблемы всегда требуется комплексный, интегральный подход. В настоящее время в российском бизнесе многие руководители государственных компаний и высшие менеджеры считают, что все проблемы в сфере информационной безопасности можно решить, не прилагая особых организационных, технических и финансовых усилий.  Однако практика показывает, что такое мнение является в корне ошибочным.

Иногда со стороны людей, которые позиционируют себя как в качестве IT-специалистов, приходится слышать высказывания: «Проблемы информационной безопасности в нашей компании мы уже решили - установили межсетевой экран и купили лицензию на средства антивирусной защиты». Такой подход демонстрирует, что существование проблемы уже признается на уровне руководителей компаний различных размеров и форм собственности, но сильно недооценивается масштаб и срочность необходимых мероприятий по ее решению. В тех компаниях, где руководители и специалисты всерьез задумались над тем, как обезопасить свой бизнес и избежать финансовых потерь, признано, что одними локальными мерами или «подручными» средствами уже не обойтись, а нужно применять именно комплексный подход.

Под информационной безопасностью понимается такое состояние условий функционирования человека, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз входе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Исходя из приведенного выше определения информационной безопасности, можно выделить следующие ее составляющие:

1. Физическая безопасность  представляет собой защиту зданий, помещений, подвижных средств, людей, а также аппаратных средств – компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры;

2. Безопасность сетей  и телекоммуникационных устройств (защита каналов связи и воздействий  любого рода);

3. Безопасность программного обеспечения (защита от вирусов, логических бомб, несанкционированного изменения конфигураций и программных кодов);

4. Безопасность данных (обеспечение конфиденциальности, целостности и доступности данных).

Задача обеспечения информационной безопасности появилась вместе с проблемой передачи и хранения информации. На современном этапе можно выделить три подхода к ее решению:

1. Частный – основывается  на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как он не требует больших финансовых и интеллектуальных затрат;

2. Комплексный – реализуется  решением совокупности задач  по единой программе. Этот подход  в настоящее время применяется  наиболее часто;

3. Интегральный – основан  на объединении различных вычислительных  подсистем работы с информацией, систем связи, подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных. Этот подход, по мнению специалистов, будет использоваться в ближайшем будущем.

Третий подход направлен на достижение интегральной информационной безопасности, что предполагает обязательную непрерывность процесса обеспечения безопасности как во времени, так и в пространстве с обязательным учетом всех возможных угроз (несанкционированный доступ, копирование информации, стихийные бедствия и т.д.). В какой бы форме не применялся данный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи разграничения доступа к информации, ее технического и криптографического «закрытия», технической и физической безопасности объектов, охраны и оснащения их тревожной сигнализацией.

По оценкам специалистов, современный этап информатизации общества переживает эффект технологической зрелости средств защиты информации, ориентированных на детерминированные классы угроз информационной безопасности. С учетом непрерывного роста сложности IT-структур и соответствующих требований к специализациям сотрудников служб безопасности (в условиях современного информационного противоборства) становится ясно, что обеспечение безопасности информационных ресурсов возможно не путем доработки отдельных систем защиты информации, а через создание механизмов их взаимодействия.

Поэтому не удивительно, что за последние годы со стороны корпоративного и промышленного секторов сильно вырос интерес к консолидации систем защиты информации путем внедрения, так называемых систем управления событиями и информацией по безопасности (SIEM-систем, Security Information and Event Management).

Концепция информационной безопасности должна включать в себя ряд законодательных инициатив, научных, технологических и технических решений, готовность государственных организаций и компаний их для того, чтобы люди, используя устройства на базе компьютеров и программного обеспечения, чувствовали себя комфортно и безопасно. В таблице 1 приведена трехуровневая модель защищенности (безопасности) информации.

Таблица 1 – Трехуровневая модель защищенности информации.

Согласно Оранжевой книге, надежная информационная система описывается как «система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную достоверную обработку информации, разной степени секретности различными пользователями или группами пользователей без нарушения прав доступа, целостности и конфиденциальности данных и информации, и поддерживая свою работоспособность в условиях воздействия на нее совокупности внешних и внутренних угроз» [6].

Это качественное определение достаточное условие безопасности. При этом не обуславливается, какие механизмы и каким образом реализуют безопасность, ведь практическая безопасность зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени ее разветвленности и точности, топологии сетей, используемого программного обеспечения.

В общем случае можно говорить о надежной защите конфиденциальной информации в двух аспектах:

1. Наличие и полнота  политики безопасности,

2. Гарантированность безопасности.

Рассмотрим каждый аспект более подробно.

Под наличием и полнотой политики безопасности понимается набор внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации. Такие стандарты и правила определяют, в каких случаях и каким образом конкретный пользователь может оперировать конкретными наборами данных. В данном документе или документах должны быть сформулированы права и ответственность пользователей и персонала отделов информационной безопасности, позволяющие выбрать наиболее эффективные механизмы защиты информации.

Политика безопасности — это активный компонент защиты, включающий в себя анализ возможных угроз и рисков, выбор мер противодействия и методологию их применения.

Под гарантированностью безопасности понимается мера доверия, которая может быть оказана архитектуре, инфраструктуре, программно-аппаратной реализации системы и методам ее управления. Гарантированность может проистекать как из тестирования и верификации, так и из проверки общего замысла и исполнения системы в целом и ее компонентов. Гарантированность показывает, насколько корректны механизмы, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень важным компонентом защиты.

Среди направлений защиты информации выделяют несколько основных, которые наиболее актуальны с точки зрения частоты их возникновения, а именно: защита информации от несанкционированного доступа, защита информации при осуществлении ее обработки по внутренним каналам, защита информации при передаче ее по каналам связи.

Все средства защиты можно разделить: на программные средства, программно-аппаратные и технические.

Для предотвращения несанкционированного доступа и связанных с ним причин применяют обычно следующие средства защиты:

1. Ограничение доступа в помещения, где находятся сервера компании, сетевое оборудование и хранятся носители информации;
2. Использование только сертифицированных знаков, используемых для отличия подлинных документов от подделки;
3. Организация физической защиты помещений, где храниться конфиденциальная информация, с использованием технических средств, существенно затрудняющих проникновение в помещения, где храниться конфиденциальная информация;
4. Разграничение сотрудников по доступы в различные помещения и к различным информационным ресурсам;
5. Строгий учет и хранение в установленных местах традиционных и электронных носителей, содержащих конфиденциальную информацию.

Для предотвращения утечки информации по техническим каналам обычно используют следующие средства защиты:

1. Использование только сертифицированных средств защиты информации;
2. Использование бесперебойных источников питания;
3. Использование серийно выпускаемых технических средств, выполняющих передачу информации по техническим каналам.

Для предотвращения утечки информации по каналам связи можно использовать следующие средства защиты:

1. Использование частных виртуальных сетей;

2. Использование мощных криптографических средств шифрования данных (например, криптографический комплекс «Шифратор IP пакетов», производства объединения МО ПН ИЭИ);

3. Использование только лицензионных программных продуктов.

Техническим аспектам защиты информации в информационных системах и сетях посвящены работы В.А.Герасименко, С.Н. Гриняева, М.П. Зегжды, В.Н. Лопатина, В.А. Никитова, Е.И. Орлова, Г.И. Савина, A.В. Старовойтова, М.П. Сычева, Л.М. Ухлинова, В.Д. Цыганкова, B.Н. Цыгич.

Проблемам защиты национальных интересов в условиях становления единого информационного пространства посвящены работы зарубежных ученых: Х. Ахвельдта, У.Е. Бейкера, У.С. Бека, Д.С. Белла, Д. Веллерсхофа, Д. Грея, Р. Денхардта, М. Калдора, Х. Куроды, К. Лоранта, К.Х. Паке, М. Петтиса, А. Тоффлера.

Проблемы информатизации, компьютеризации в современном обществе раскрыты в исследованиях Р.Ф. Абдеева, Н.П. Ващекина, Б. Гейтса, Б.А. Глинского, Р. Джонстона, А.М. Еременко, М. Иванова, М.Б. Игнатьева, М. Кастельса, Б.И. Козлова, А.В. Лебедева, Н.М. Мамедова, И.В. Мелик-Гайказяна, Д. Мичи. М.А. Мунтяна, Ю.А. Нисневича. А.И. Ракитова, A.Д. Урсула.

Правовые аспекты деятельности в сети Интернет осветили в своих трудах И.Л. Бачило, Е.А. Чичнева.

Изучением информационной безопасности, информационного противоборства и информационных технологий занимались такие авторы, как В.И. Аникин, А.А. Трешневиков, Ю.Б. Кашлев, В.А. Лисичкин, B.Л. Манилов, А.А. Максимов, А.Г. Михайлов, В.Н. Крысько, И.Н. Панарин, Г.Г. Почепцов, С.П. Расторгуев, Л.А. Шелепин, В.И. Ярочкин и другие.

Требования к защите конфиденциальной информации.

К работе с конфиденциальной информацией (документами) предъявляются следующие требования, которые с большой степенью вероятности могут гарантировать решение задач, рассмотренных в предыдущем пункте настоящего курсового проекта:

1.  Централизованная автоматическая обработка документов компании, т.е. регламентированное прохождение документами всех стадий, этапов, процедур и операций по обработке и хранению конфиденциальных документов;

2.  Автоматизированный учет всех без исключения конфиденциальных документов (всей информации компании);

3.  Учет и постоянный контроль над действиями, осуществляемыми с документами, содержащими коммерческую тайну, на традиционных (бумажных) или электронных носителях (в том числе чистых);

5.  Обеспечения сохранности не только документов, но и учетных форм;

6.  Ознакомления или работы с документом только на основании письменной санкции (разрешения) полномочного руководителя, письменного фиксирования всех обращений персонала к документу;

7.  Обязательной росписи руководителей, исполнителей и технического персонала при выполнении любых действий с документом в целях обеспечения персональной ответственности сотрудников фирмы за сохранность носителя и конфиденциальность информации;

8.  Выполнения персоналом введенных в фирме правил работы с конфиденциальными документами, делами и базами данных, обязательными для всех категорий персонала;

9.  Систематических (периодических и разовых) проверок наличия документов у исполнителей, в делах, базах данных, на машинных носителях и т.д., ежедневного контроля сохранности, комплектности, целостности и местонахождения каждого конфиденциального документа;

10.  Коллегиальности процедуры уничтожения документов, дел и баз данных;

11.  Наличие письменной санкции руководителя для процедур копирования и тиражирования бумажных и электронных документов, содержащих информацию, представляющую коммерческую тайну, контроль технологии выполнения этих процедур. Такая система обработки и хранения конфиденциальных документов распространяется не только на управленческую (деловую) документацию, но и конструкторские, технологические, научно-технические и другие аналогичные документы, публикации, нормативные материалы и др., хранящиеся в специальных библиотеках, информационных центрах, ведомственных архивах, документированную информацию, записанную на любом типе носителя информации.

1.2 Законодательные основы защиты конфиденциальной информации средствами вычислительной техники

Законодательными актами РФ определено, что документированная информация (документы), является общедоступной, за исключением документов, отнесенных законом к категории ограниченного доступа.

Документированная информация с ограниченным доступом делиться на информацию, причисленную к государственной тайне, и конфиденциальную информацию. Эти виды документированной информации подлежат защите от незаконного распространения (разглашения) и относится к охраняемой законом тайне.

Отношения, возникающие при создании, накоплении, обработке, хранении и использовании документов, содержащих информацию, составляющую государственную тайну, регулируются соответствующими законодательными актами.

Основным из них является:

1. Конституция Российской Федерации (статья 23), в которой гарантируется неприкосновенность личной жизни, личной и семейной тайны, тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. При этом ограничение этого права допускается только на основании решения судебных органов,
2. Конституция РФ (статья 24), в которой не допускается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия,
3. Гражданский кодекс РФ (ст.150), в которой конфиденциальная информация относится к нематериальным благам. Также гражданский кодекс гласит, что информация составляет служебную или коммерческую тайну в случае, когда:

• Эта информация имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам;

• К этой информации нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.

4. Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года; 

5. Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года; 
6. Федеральный закон «О государственной тайне» с изменениями от 21 декабря 2014 года; 
7. Федеральный закон № 98-ФЗ «О коммерческой тайне» от 29 июля 2004 года (в редакции от 12.03.2014);
8. Федеральный закон № 1-ФЗ «Об электронно-цифровой подписи» от 10 января 2002 года и также другие подзаконные акты.

В Федеральном законе “Об информации, информатизации и защите информации” конфиденциальная информация определяется как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (ст.2).

Понятие конфиденциальной информации конкретизировано в перечне сведений конфиденциального характера, утвержденном Указом Президента Российской Федерации от 6 марта 1997 г. № 188. Согласно данному перечню сведения конфиденциального характера делятся на несколько категорий:

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Информация, составляющая тайну следствия и судопроизводства.

3. Группа служебных сведений, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и Федеральными законами.

4. Информация, связанная с профессиональной деятельностью, доступ к которой ограничен в соответствии с конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных разговоров и т.д.)

5. Информация, связанная с коммерческой деятельностью, доступ к которой ограничен в соответствии с гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Информация о сущности изобретения, полезной модели или промышленного образца до официальной публикации о них.

Некоторые вопросы, связанные с защитой конфиденциальной информации, регулируется Уголовно-процессуальным кодексом Российской Федерации.

В данном кодексе есть положения, касающиеся тайны переписки, телефонных и иных переговоров, почтовых отправлений, телеграфных и иных сообщений.

Защита конфиденциальной информации от неправомерных посягательств на основе норм гражданского, административного либо уголовного права.

Поскольку ГК РФ, как упоминалось выше, относит конфиденциальную информацию к нематериальным благам (ст.150), защита гражданских прав юридических и физических лиц, связанных с конфиденциальной информацией, регулируются преимущественно соответствующими нормами гражданского законодательства.

Так, ст.11 Части первой ГК РФ предусматривает судебную защиту гражданских прав. Защиту нарушенных или оспоренных гражданских прав, согласно этой статье осуществляет в соответствии с подведомственностью дел, установленной процессуальным законодательством, суд, арбитражный суд или третейский суд.

ГК РФ определены также способы защиты гражданских прав (ст.12), большинство которых могут применяться в связи с защитой конфиденциальной информации.

Основными способами такой защиты являются:

• пресечение действий, нарушающих право на защиту конфиденциальной информации или создающих угрозу его нарушения;
• восстановление положения, существовавшего до нарушения права на защиту конфиденциальной информации;
• прекращение или изменение конкретного правоотношения, связанного с конфиденциальной информацией.

УК РФ также содержит ряд положений, относящихся к защите конфиденциальной информации и ответственности за ее неправомерное использование (ст. 137,138,310).

Ст.138 УК РФ предусматривает ответственность за другие правонарушения, связанные с нарушением права на защиту конфиденциальной информации. В ней определена ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

Установлено, что нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом или исправительными работами.

Ст.138 УК РФ предусматривает также, что это же деяние, совершенное лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью.

Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений имеет место в случае незаконного ознакомления с перепиской, почтовыми или телеграфными сообщениями, прослушиванием чужих переговоров. Таким же нарушением является ознакомление с информацией, поступившей по телетайпу, телефаксу и другим телекоммуникациям.

Статьей 13.12 Кодекса АП предусмотрена ответственность за нарушение правил защиты информации. Так, нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа.

Мера ответственности за разглашение информации с ограниченным доступом, в том числе конфиденциальной информации, установлена статьей 13.14 Кодекса АП. В соответствии с этой статьей разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.