2. Antivírusový systém ESET NOD 32 na ochranu pred počítačovými vírusmi.
Databázy sú pravidelne aktualizované a pracovné stanice sú kontrolované.
3. Vstavaná záloha systému Windows na vytváranie archívov.
OS Backup Wizard je program určený pre rýchla tvorba a obnoviť zálohu kópie systému Windows. Umožňuje vám vytvoriť kópiu celého systému Windows alebo len jednotlivých súborov a priečinkov.
4. Šifrovanie s 2048 bitovým kľúčom pre vpn kanál(napojenie na kanceláriu správcovskej spoločnosti pre poštu a workflow).
Kapitola 2. Zlepšenie NIS
2.1 Slabé stránky v systéme informačnej bezpečnosti
Pri analýze problematiky informačnej bezpečnosti je potrebné brať do úvahy špecifiká tohto aspektu bezpečnosti, ktoré spočívajú v tom, že informačná bezpečnosť je neoddeliteľnou súčasťou informačných technológií – oblasti, ktorá sa rozvíja nebývalým tempom. Tu to nie je až také dôležité samostatné riešenia(zákony, školenia, softvérové a hardvérové produkty), ktoré sú na modernej úrovni, koľko mechanizmov na generovanie nových riešení, ktoré vám umožňujú žiť tempom technického pokroku.
Moderné technológie programovanie neumožňujú vytvárať bezchybné programy, čo neprispieva k rýchlemu vývoju softvéru informačná bezpečnosť.
Po analýze informačnej bezpečnosti podniku môžeme konštatovať, že informačnej bezpečnosti sa nevenuje dostatočná pozornosť:
Nedostatok prístupových hesiel do systému;
Neprítomnosť hesiel pri práci s programom s 1C: Enterprise pri zmene údajov;
Neexistuje žiadna dodatočná ochrana súborov a informácií (neexistuje žiadna elementárna požiadavka na heslo pri otváraní alebo zmene informácií v súboroch, nehovoriac o nástrojoch na šifrovanie údajov);
Nepravidelná aktualizácia databáz antivírusových programov a skenovanie pracovných staníc;
Veľké množstvo dokumentov na papieri je hlavne v priečinkoch (niekedy aj bez nich) na pracovnej ploche zamestnanca, čo útočníkom umožňuje jednoducho použiť tento druh informácií na vlastné účely;
V podniku neprebieha pravidelná diskusia o otázkach bezpečnosti informácií a vznikajúcich problémoch v tejto oblasti;
Pravidelná kontrola prevádzkyschopnosti informačných systémov podniku nie je organizovaná, ladenie sa vykonáva iba v prípade zlyhania;
Nedostatok politiky informačnej bezpečnosti;
Nedostatok správcu systému.
Všetky vyššie uvedené sú veľmi dôležité nedostatky pri zabezpečovaní informačnej bezpečnosti podniku.
2.2 Účel a ciele systému informačnej bezpečnosti
Informačná bezpečnosť – stav bezpečnosti informačné zdroje V počítačové siete a podnikových systémov pred neoprávneným prístupom, náhodným alebo úmyselným zásahom do normálneho fungovania systémov, pokusmi o zničenie ich komponentov.
Ciele informačnej bezpečnosti:
predchádzanie ohrozeniu bezpečnosti podniku v dôsledku neoprávneného zásahu do informačných zdrojov a informačných systémov, ktorých cieľom je ničiť, upravovať, skresľovať, kopírovať, blokovať informácie alebo iné formy protiprávneho zasahovania;
uchovávanie obchodných tajomstiev spracovaných pomocou počítačovej technológie;
ochrana ústavných práv občanov na zachovanie osobného tajomstva a dôvernosti osobných údajov dostupných v informačných systémoch.
Na dosiahnutie cieľov ochrany by sa malo zabezpečiť efektívne riešenie nasledujúcich úloh:
Ochrana pred zásahmi do procesu fungovania podniku neoprávnenými osobami;
ochrana pred neoprávneným konaním s informačnými zdrojmi podniku neoprávnenými osobami a zamestnancami, ktorí nemajú príslušné oprávnenie;
Zabezpečenie úplnosti, spoľahlivosti a efektívnosti informačnej podpory pre prijímanie manažérskych rozhodnutí manažmentom podniku;
Zabezpečenie fyzickej bezpečnosti technické prostriedky a podnikový softvér a ich ochrana pred pôsobením umelých a prírodných zdrojov hrozieb;
registrácia udalostí ovplyvňujúcich bezpečnosť informácií, zabezpečenie plnej kontroly a zodpovednosti za vykonávanie všetkých operácií vykonávaných v podniku;
včasná identifikácia, hodnotenie a predpovedanie zdrojov ohrozenia informačnej bezpečnosti, príčin a podmienok, ktoré prispievajú k poškodeniu záujmov subjektov, narušeniu normálneho fungovania a rozvoja podniku;
analýza rizík realizácie ohrozenia informačnej bezpečnosti a hodnotenie možných škôd, predchádzanie neprijateľným následkom narušenia informačnej bezpečnosti podniku, vytváranie podmienok na minimalizáciu a lokalizáciu spôsobených škôd;
Zabezpečenie možnosti obnovenia súčasného stavu podniku v prípade narušenia informačnej bezpečnosti a odstránenie následkov týchto porušení;
· Tvorba a formovanie cieľavedomej politiky informačnej bezpečnosti podniku.
2.3 Opatrenia a prostriedky na zlepšenie systému informačnej bezpečnosti
Na dosiahnutie stanovených cieľov a riešenie problémov je potrebné vykonávať aktivity na úrovniach informačnej bezpečnosti.
Administratívna úroveň informačnej bezpečnosti.
Na vytvorenie systému informačnej bezpečnosti je potrebné vypracovať a schváliť politiku informačnej bezpečnosti.
Bezpečnostná politika je súbor zákonov, pravidiel a noriem správania zameraných na ochranu informácií a s nimi spojených zdrojov.
Je potrebné poznamenať, že vypracovaná politika by mala byť v súlade s existujúcimi zákonmi a predpismi týkajúcimi sa organizácie, t.j. tieto zákony a nariadenia je potrebné identifikovať a zohľadniť pri tvorbe politiky.
Čím je systém spoľahlivejší, tým prísnejšia a rozmanitejšia by mala byť bezpečnostná politika.
V závislosti od formulovanej politiky si môžete zvoliť konkrétne mechanizmy, ktoré zabezpečia bezpečnosť systému.
Organizačná úroveň ochrany informácií.
Na základe nedostatkov popísaných v predchádzajúcej časti je možné navrhnúť nasledujúce opatrenia na zlepšenie informačnej bezpečnosti:
Organizácia práce na školení personálu v zručnostiach práce s novými softvérovými produktmi za účasti kvalifikovaných odborníkov;
Rozvoj potrebných opatrení zameraných na zlepšenie systému ekonomického, sociálneho a informačného zabezpečenia podniku.
Vykonajte brífing tak, aby si každý zamestnanec uvedomil dôležitosť a dôvernosť informácií, ktoré mu boli zverené, ako spravidla dôvod zverejnenia dôverné informácie je nedostatočná znalosť pravidiel ochrany obchodného tajomstva zamestnancami a nepochopenie (alebo nepochopenie) potreby ich starostlivého dodržiavania.
Prísna kontrola dodržiavania pravidiel pre prácu s dôvernými informáciami zamestnancami;
Kontrola dodržiavania pravidiel uchovávania pracovnej dokumentácie zamestnancov podniku;
Plánované stretnutia, semináre, diskusie o otázkach bezpečnosti podnikových informácií;
Pravidelná (plánovaná) kontrola a údržba prevádzkyschopnosti všetkých informačných systémov a informačnej infraštruktúry.
Menovať správcu systému natrvalo.
Softvérové a hardvérové opatrenia na ochranu informácií.
Softvér a hardvér sú jednou z najdôležitejších súčastí implementácie informačná bezpečnosť podniku je preto na zvýšenie úrovne ochrany informácií potrebné zaviesť a uplatňovať tieto opatrenia:
Zadávanie používateľských hesiel;
Ak chcete regulovať prístup používateľov k informačným zdrojom podniku, musíte zadať zoznam používateľov, ktorí vstúpia do systému pod svojím prihlásením. Používanie OS Windows Server 2003 Std nainštalovaný na serveri, môžete vytvoriť zoznam používateľov s príslušnými heslami. Rozdajte zamestnancom heslá s príslušnými pokynmi na ich použitie. Musíte tiež zadať dátum vypršania platnosti hesla, po ktorom bude používateľ vyzvaný na zmenu hesla. Obmedzte počet pokusov o prihlásenie s nesprávnym heslom (napríklad na tri).
Zavedenie požiadavky na heslo v programe 1C: Enterprise pri práci s databázou, pri zmene údajov. To možno vykonať pomocou softvérových nástrojov a softvéru pre PC.
Diferenciácia prístupu k súborom, adresárom, diskom.
Vykoná sa diferenciácia prístupu k súborom a adresárom systémový administrátor, ktorý umožní prístup k príslušným jednotkám, priečinkom a súborom konkrétne pre každého používateľa.
Pravidelná kontrola pracovných staníc a aktualizácia databáz antivírusových programov.
Umožňuje odhaliť a neutralizovať škodlivé programy, odstrániť príčiny infekcií. Je potrebné vykonať inštaláciu, konfiguráciu a údržbu nástrojov a systémov antivírusová ochrana.
Aby ste to dosiahli, musíte nakonfigurovať antivírusový program tak, aby pravidelne skenoval váš počítač a pravidelne aktualizoval databázy zo servera.
Inštalácia firewallu Agnitum Outpost FireWall na serverový počítač, ktorý blokuje útoky z internetu.
Výhody používania Agnitum Outpost FireWall:
¾ kontroluje pripojenia vášho počítača k ostatným, blokuje hackerov a zabraňuje neoprávnenému externému a internému prístupu k sieti.
1Ministerstvo vnútra Ruskej federácie
Vzdelávacia inštitúcia federálnej štátnej pokladnice
vyššie vzdelanie
„Právny inštitút Ufa Ministerstva vnútra Ruska
federácie"
maturitná prezentácia kvalifikačnú prácu na
téma:
Bezpečnostný systém v ruštine
Federácia a spôsoby, ako ju zlepšiť
Autor diela: Art. gr. EK/b-52z Lukyanova O.A.
Vedúci: Ph.D. Berezinets O.M.
Účel a ciele, predmet a predmet skúmania
Účel štúdie:vývoj vedecky podloženej koncepcie bezpečnostného systému a
poskytovanie spôsobov na jeho zlepšenie v Ruskej federácii.
Ciele výskumu:
zvážiť základy koncepcie a obsahu činností na zaistenie národnej bezpečnosti
RF;
preskúmať poskytovanie koncepčných a regulačných rámcov pre národnú a verejnosť
bezpečnosť Ruskej federácie;
študovať národnú bezpečnostnú stratégiu Ruskej federácie a úlohy orgánov činných v trestnom konaní
orgány;
odrážať ekonomickú bezpečnosť ako integrálny prvok národnej a sociálno-ekonomickej bezpečnosti krajiny: koncepcia a právna úprava;
analyzovať súčasný stav, hrozby a prahovú hodnotu ekonomickej bezpečnosti;
zvážiť metódy na určenie úrovne ekonomickej bezpečnosti v Ruskej federácii;
preskúmať mechanizmus na zabezpečenie hospodárskej bezpečnosti Ruskej federácie;
odrážať problémy realizácie ekonomickej bezpečnosti Ruskej federácie;
navrhnúť spôsoby, ako zlepšiť ekonomickú bezpečnosť Ruskej federácie.
Predmet a predmet skúmania:
Objektom je bezpečnostný systém Ruskej federácie.
Predmetom štúdia sú črty vzťahov súvisiacich s bezpečnostným systémom v
Ruská federácia.
Základy koncepcie a obsahu činností na zabezpečenie národnej bezpečnosti Ruskej federácie
1. Špecifikom národnej bezpečnostnej politiky ježe ide o činnosť štátu, spoločnosti a občanov identifikovať,
kontrola, prevencia, odvrátenie, redukcia, lokalizácia,
neutralizovať a eliminovať možnosť spôsobenia škôd domorodým obyvateľom
záujmy krajiny a ich implementáciu
2. Samotný objekt vplyvu síl a prostriedkov podpory
národná bezpečnosť – hrozby a nebezpečenstvá – sú
sú problémy celoštátneho rozsahu z rôznych oblastí
spoločenský život, čím sa krajina dostala na pokraj prežitia.
3. Národný bezpečnostný systém
je združením orgánov a síl obrany,
štátna a verejná bezpečnosť.
4. Činnosť štátnych orgánov a správy na
ekonomická stabilizácia, sociálne zabezpečenie obyvateľstva,
zdravotníctvo, školstvo, kultúra a ochrana životného prostredia
prírodné prostredie vytvára nevyhnutný základ pre zabezpečenie
národnej bezpečnosti, a je do nej často zahrnutá ako
neoddeliteľnou súčasťou subsystému prevencie hrozieb.
Právny rámec na zaistenie verejnej bezpečnosti Ruskej federácie
Ústava Ruskej federácie, federálne zákony, zákony subjektov Ruskej federácie,normatívne právne akty prezidenta Ruskej federácie a vlády Ruskej federácie
Nemenej významné sú také koncepčné dokumenty ako Stratégia pre národ
bezpečnosti Ruskej federácie a Koncepcie verejnej bezpečnosti Ruskej federácie. Podrobné
zoznam právneho základu na zaistenie verejnej bezpečnosti obsahuje čl. 7
„Koncepcie verejnej bezpečnosti v Ruskej federácii“, v ktorých sa okrem
vyššie uvedených právnych aktov, všeobecne uznávaných zásad a
normy medzinárodného práva, medzinárodné zmluvy, ako aj ústavy
(charty) subjektov Ruskej federácie a obcí
Rozlišuje sa aj niekoľko podzákonných noriem: regulačné právne akty
federálne výkonné orgány a výkonné orgány
subjekty Ruskej federácie, rezortné regulačné právne akty.
Stratégia národnej bezpečnosti Ruskej federácie a úlohy orgánov činných v trestnom konaní
5Stratégia národnej bezpečnosti Ruskej federácie a
úlohy presadzovania práva
Podľa Národnej bezpečnostnej stratégie:
hlavné smery zabezpečenia štátnej a verejnej bezpečnosti sú:
- Posilnenie úlohy štátu ako garanta osobnej bezpečnosti a vlastníckych práv;
- zlepšenie právnej úpravy prevencie kriminality (vrátane informovanosti).
korupcia, terorizmus a extrémizmus, šírenie drog a boj proti takýmto javom;
- rozvoj interakcie štátnych bezpečnostných a orgánov činných v trestnom konaní s obč
spoločnosti, čím sa zvyšuje dôvera občanov v systémy presadzovania práva a súdnictva Ruskej federácie.
bezpečnostné spôsoby:
- Zlepšenie efektívnosti orgánov činných v trestnom konaní;
- zlepšenie jednotného štátny systém prevencia kriminality;
- rozvoj a využívanie osobitných opatrení zameraných na zníženie úrovne kriminalizácie
vzťahy s verejnosťou;
- odstránenie príčin a podmienok, ktoré spôsobujú korupciu, ktorá je prekážkou udržateľnosti
rozvoj Ruskej federácie a implementácia strategických národných priorít;
- komplexný rozvoj orgánov činných v trestnom konaní a špeciálnych služieb, posilnenie sociálnych záruk
ich zamestnancov, zlepšenie vedeckej a technickej podpory presadzovania práva,
rozvoj systému odbornej prípravy špecialistov v oblasti štátnej a
verejná bezpečnosť;
- zvýšenie spoločenskej zodpovednosti orgánov štátnej a verejnej bezpečnosti;
- zlepšenie štruktúry a činnosti federálnych výkonných orgánov.
Problémy federálneho zákona Ruskej federácie „o bezpečnosti“ č. 390-FZ
6Problémy federálneho zákona Ruskej federácie „On
zabezpečenie“ č. 390-FZ
1. zákon musí mať štatút nielen federálny, ale federálny
ústavné právo, keďže na rozdiel od zákona z roku 1992 tento normatív
zákon sa okrem iného opiera o osobitné ustanovenia Ústavy Ruskej federácie
základný zákon obsahuje aj priamy údaj (vyplývajúci zo vzájomne súvisiacich
ustanovenia čl. 106 a 108 Ústavy Ruskej federácie, v ktorých sa stanovuje zoznam požadovaných otázok
vyrovnanie FKZ)
2. došlo k nahradeniu pojmu „bezpečnosť“.
„národná bezpečnosť“, na základe čoho názov vyplýva
tohto regulačného právneho aktu vykonať úpravy a
predpisovať, že ide o zákon špecificky o národnej bezpečnosti
3. doslovný výklad obsahu časti 3 čl. 4 predmetného zákona umožňuje
tvrdia, že štátna politika v tejto oblasti sa realizuje len na
na základe podriadených normatívnych právnych aktov vydaných prezidentom Ruskej federácie,
Vláda Ruskej federácie a ďalšie subjekty zaisťujúce národnú bezpečnosť
Spôsoby zlepšenia legislatívneho rámca pre verejnú bezpečnosť
7Spôsoby, ako zlepšiť legislatívu
základne verejnej bezpečnosti
1. Aby sa predišlo protichodným výkladom pojmu verejná bezpečnosť, za
ustanovenie jednotného zákonom pevného pojmového aparátu, ako aj
s cieľom optimalizovať prácu a interakciu všetkých výkonných orgánov a
reguláciu niektorých druhov verejnej bezpečnosti je potrebné vypracovať a
prijať federálny zákon „o verejnej bezpečnosti v Ruskej federácii“
2. Je potrebné vykonať určité zmeny a úpravy existujúceho
na tento moment legislatívny základ. V prvom rade treba poznamenať, že každý
samostatný inštitút verejnej bezpečnosti funguje na základe
rôzne špeciálne normy federálnej legislatívy a
stanovy. To priamo ovplyvňuje účinnosť
aplikované a realizované opatrenia a akcie
Definícia ekonomickej bezpečnosti
8Definícia ekonomickej bezpečnosti
Najúspešnejšia definícia ekonomickej bezpečnosti, na
náš názor, povedal I.Ya. Bogdanov. Podľa neho ekonomické
bezpečnosť je stav ekonomiky krajiny,
čo z hľadiska objemových a štruktúrnych parametrov je
dostatočné na zabezpečenie existujúceho stavu
štátu, je nezávislý od vonkajšieho tlaku
politický a sociálno-ekonomický rozvoj, ako aj
dostatočné na udržanie úrovne legálneho príjmu,
zabezpečuje absolútnu väčšinu obyvateľstva
blahobyt, ktorý spĺňa štandardy civilizácie
krajín.
Štruktúra systému hospodárskej bezpečnosti Ruskej federácie
9Štruktúra ekonomiky
bezpečnosť Ruskej federácie
Ohrozenie ekonomickej bezpečnosti
10Ohrozenie ekonomickej bezpečnosti
Kritériá hodnotenia úrovne ekonomickej bezpečnosti v krajine zahŕňajú zohľadnenie, stanovenie a analýzu nasledujúcich parametrov
11Kritériá hodnotenia úrovne ekonomického zabezpečenia v
krajiny zahŕňa zohľadnenie, definovanie a analýzu nasledovného
parametre
1. Stav potenciálu zdrojov, v rámci ktorého sa skúma efektívnosť využívania zdrojov,
kapitálu a práce, udržiavanie štátnej kontroly nad strategickými zdrojmi, objem exportu zdrojov
mimo štátu bez spôsobenia škôd na národnom hospodárstve
2. Stav vedecko-technického potenciálu krajiny, ktorý závisí od úrovne rozvoja výskumných ústavov, možnosti zavádzania inovatívnych vedeckých vývojov, schopnosti
zabezpečiť nezávislosť štátu v strategicky dôležitých oblastiach vedecko-technického pokroku
3. Stabilita finančného systému štátu, určená z ukazovateľov inflácie, tvorby a
čerpanie štátneho rozpočtu, stupeň ochrany subjektov trhu, konvertibilita
národnej meny
4. Vyvážená zahraničná hospodárska politika pri uspokojovaní dopytu obyvateľstva a
ochrany domácich výrobcov
5. Životná úroveň obyvateľstva (úroveň chudoby, nezamestnanosti, majetková diferenciácia, príjem po
zdanenie)
6. Konkurencieschopnosť ekonomiky, ktorá závisí od strategických krokov štátnych štruktúr pre
implementácia rozvojových programov pre niektoré odvetvia a odvetvia hospodárstva
7. Dostupnosť právnych mechanizmov na ochranu záujmov subjektov národného hospodárstva
Hlavné zložky mechanizmu na zabezpečenie ekonomickej bezpečnosti štátu a jeho regiónov
12Hlavné zložky mechanizmu poskytovania
ekonomická bezpečnosť štátu a jeho regiónov
Návrhy a odporúčania na optimalizáciu národnej bezpečnostnej stratégie Ruskej federácie s využitím efektívneho systému ekonomiky
13Návrhy a odporúčania na optimalizáciu stratégie
národnej bezpečnosti Ruskej federácie prostredníctvom použitia
efektívny systém ekonomickej bezpečnosti Ruska
1. pri právnom úkone
konsolidovať nielen strategické
hrozieb národnej bezpečnosti
RF, ale aj protiopatrenia
definovaním procesov,
podprocesy, matice
zodpovednosť, načasovanie a
očakávané výsledky na každom z nich
etapa
2. zabezpečiť jasné sledovanie
rozvojové stratégie prostredníctvom kontroly
v každej fáze s osobitným dôrazom
o zodpovednosti, načasovaní a
implementáciu plánu
3. pri každej iterácii korelujte
náklady s výsledkami, dôraz na robenie
efektívne dosahovať ciele a
efektívnosť akcií
4. každý štát
karoséria/servis musí ročne
podať správu o svojom výkone
párovaním nákladov a výnosov
rozpočet prostredníctvom svojich činností,
ktorá zabezpečí zrušenie
neefektívne služby a orgány,
zjednotený a
štandardizovaný prístup k
činnosti
5. sprísniť mieru zodpovednosti
štát zamestnancov za trestné činy a
ich priestupky,
čo im zabezpečí
nestrannosť a „čistú“ prácu
6. relevantnosť použitia a
vytvorenie záložného systému
7. vštepiť túžbu občanom Ruskej federácie
sledovať záujmy krajiny tým
pochopenie potreby a
dôležitosť akcií a
návrat do spoločnosti
Hlavné smery realizácie štátnej stratégie na zabezpečenie ekonomickej bezpečnosti na regionálnej úrovni
14Hlavné smery implementácie štátnej stratégie
zabezpečenie ekonomickej bezpečnosti v regióne
úrovni
1.
prekonávanie
dôsledky
kríza,
úspech
ekonomické
rast v
reálny
sektore
hospodárstva
región a jeho
podriadenosti
úlohy
sociálno-ekonomické
rozvoj
štátov
2.
Nevyhnutné
zisk
finančné
bezpečnosť
región,
prioritou
opevnenie
finančné
kapacita
reálny
sektorov
ekonomika,
predmetov
organizovaný
oi všetkých foriem
nehnuteľnosť
a
domácnosti
3. Tvorba
spoľahlivý
záruky
technologický
Ou
bezpečnosť;
aktualizovať a
výmena starých
hlavný
fondy
podnikov
a inštitúcie
úrovni
nosiť
ktoré
blížiace sa
Komu
kritický
a je
80-82 %
4. Získať
energie
bezpečnosť
región,
implementáciu
aktívny
politikov
úspora energie
výskum a vývoj
vlastné
energetický potenciál
ala,
diverzifikácia
i trhy
produkty a
Tvorba
podmienky pre
reálny
súťaž v
guľa
zásobované energiou
a ja
5. Riešenie
Celkom
komplexné
problémy, od
ktoré
závisí
jedlo
nie
bezpečnosť
uvádza v
všeobecne
6.
Prevencia
rozšírenie
zlá kvalita
dovezené
produkty a
jedlo
tento tovar,
ktoré
Možno
vyrábať v
nevyhnutné
zväzkov
agropriemysel
enny
komplex v
regiónu
7. Riešenie
najviac
akútne úlohy v
guľa
definície
dlhý termín
priority v
guľa
ekologické
th
bezpečnosť
a ochranu
životného prostredia
prirodzené
prostredia
PRÁVNE PROBLÉMY POUŽÍVANIA POČÍTAČOVÝCH TECHNOLÓGIÍ A ZLEPŠOVANIE LEGISLATÍVY
ZLEPŠENIE INŠTITUCIONÁLNEHO MECHANIZMU NA ZABEZPEČENIE INFORMAČNEJ BEZPEČNOSTI RUSKEJ FEDERÁCIE
ZLEPŠENIE INŠTITUCIONÁLNEHO MECHANIZMU NA ZABEZPEČENIE INFORMAČNEJ BEZPEČNOSTI RUSKEJ FEDERÁCIE
© Julia Alexandrovna Koblova
Julija A. Koblová
Kandidát ekonomických vied, docent Katedry inštitucionálnej ekonómie a ekonomickej bezpečnosti, Saratovský sociálno-ekonomický inštitút (odbor) G.V. Plechanov"
Cand, Sc. (ekonómia), docent na katedre inštitucionálnej ekonómie, Saratovský sociálno-ekonomický inštitút (pobočka) Plechanovovej Ruskej ekonomickej univerzity
e-mail: [chránený e-mailom]
Článok skúma inštitucionálne aspekty zabezpečenia informačnej bezpečnosti štátu. Odhaľuje sa podstata a úloha inštitucionálneho mechanizmu pri zabezpečovaní informačnej bezpečnosti štátu. Posudzuje sa inštitucionálne zabezpečenie informačnej bezpečnosti v Rusku. Identifikujú sa problémy a navrhuje sa systém opatrení na zlepšenie inštitucionálneho mechanizmu na zabezpečenie informačnej bezpečnosti krajiny.
Kľúčové slová Kľúčové slová: inštitúcie, inštitucionálny mechanizmus, informačná bezpečnosť, internetový priestor.
Príspevok skúma inštitucionálne aspekty zabezpečenia informačnej bezpečnosti štátu. Autor odhaľuje podstatu a úlohu inštitucionálneho mechanizmu pri zabezpečovaní informačnej bezpečnosti štátu, hodnotí inštitucionálny mechanizmus zabezpečovania informačnej bezpečnosti v Rusku, poukazuje na hlavné výzvy a navrhuje systém opatrení na zlepšenie inštitucionálneho mechanizmu na zaistenie informačnej bezpečnosti.
Kľúčové slová: inštitúcie, inštitucionálne mechanizmy, informačná bezpečnosť, internetový priestor.
Zabezpečovanie informačnej bezpečnosti štátu je celkom nová funkcia štátu s objemom a obsahom doteraz neetablovaných metód a nástrojov.
policajti. Jeho formovanie je dôsledkom potreby ochrany spoločnosti a štátu pred informačnými hrozbami spojenými s rozvojom najnovších informačných a komunikačných technológií.
technológie. Rozsah negatívnych dôsledkov týchto hrozieb pre štáty, organizácie, ľudí je už uznávaný svetovým spoločenstvom, preto je najdôležitejšou úlohou štátu vypracovať systém opatrení na ich predchádzanie a neutralizáciu. Dôležitú úlohu pri dosahovaní informačnej bezpečnosti štátu zohráva inštitucionálny mechanizmus jej zabezpečovania. Efektívnosť inštitucionálneho systému, ktorý implementuje verejný záujem, je kľúčom k ich harmonizácii s cieľom zabezpečiť najvyššie štátne záujmy vrátane národnej a informačnej bezpečnosti.
Pripomeňme, že inštitúcie sú pravidlá interakcií („pravidlá hry“) v spoločnosti, ktoré vytvára ľudské vedomie a skúsenosť, obmedzenia a predpoklady rozvoja v politike, sociálnej sfére a ekonomike. Inštitúcie, ktoré podporujú dlhodobý ekonomický rast, sú zákony a pravidlá, ktoré tvoria stimuly a mechanizmy. Inštitúcie nastavujú systém pozitívnych a negatívnych stimulov, znižujú neistotu a robia sociálne prostredie predvídateľnejším. Známe sú inštitúcie, ktoré garantujú informačnú bezpečnosť: právny štát, nezávislý a kompetentný súd, absencia korupcie atď.
Inštitucionálny mechanizmus na zabezpečenie informačnej bezpečnosti je špeciálna štrukturálna zložka ekonomického mechanizmu, ktorá zabezpečuje tvorbu noriem a pravidiel upravujúcich interakciu rôznych ekonomických subjektov v informačnej sfére s cieľom predchádzať ohrozeniam informačnej bezpečnosti. Inštitucionálny mechanizmus uvádza do pohybu inštitúcie (formálne i neformálne), štruktúruje interakcie subjektov, vykonáva kontrolu nad dodržiavaním stanovených noriem a pravidiel.
Podstata inštitucionálneho mechanizmu sa prejavuje prostredníctvom jeho funkcií. O.V. Inshakov a N.N. Lebedev verí, že inštitucionálny mechanizmus vykonáva nasledujúce funkcie, ktoré sa vzťahujú aj na mechanizmus informačnej bezpečnosti:
1) integrácia agentov do jednej inštitúcie s cieľom vykonávať spoločné aktivity v rámci spoločných štatútov a noriem;
2) diferenciácia noriem a statusov, ako aj subjektov a agentov rôznych inštitúcií na požiadavky, ktoré ich oddeľujú a ignorujú; regulácia interakcie medzi
ta a jej zástupcov v súlade so stanovenými požiadavkami;
3) implementácia prevodu nových požiadaviek do skutočnej praxe;
4) zabezpečenie reprodukcie bežných inovácií;
5) podriadenosť a koordinácia vzťahov medzi subjektmi, ktoré patria do rôznych inštitúcií;
6) informovanie subjektov o nových normách a oportunistickom správaní;
7) regulácia činnosti subjektov, ktoré zdieľajú a odmietajú požiadavky definované ústavom;
8) kontrola implementácie noriem, pravidiel a dohôd.
Inštitucionálny mechanizmus na zaistenie informačnej bezpečnosti teda zahŕňa legislatívny rámec a inštitucionálne štruktúry, ktoré ju zabezpečujú. Dokonalosť tento mechanizmus zahŕňa reorganizáciu legislatívneho rámca pre informačnú bezpečnosť a inštitucionálnych štruktúr na boj proti hrozbám informačnej bezpečnosti.
Inštitucionálny mechanizmus zabezpečenia informačnej bezpečnosti zahŕňa: prijatie nových zákonov, ktoré by zohľadňovali záujmy všetkých subjektov informačnej sféry; dodržiavanie rovnováhy tvorivej a obmedzujúcej funkcie zákonov v informačnej sfére; integrácia Ruska do globálneho právneho priestoru; s prihliadnutím na stav sféry domácich informačných technológií.
K dnešnému dňu sa vytvorilo Rusko legislatívneho rámca v oblasti informačnej bezpečnosti vrátane:
1. Zákony Ruskej federácie: Ústava Ruskej federácie, „o bezpečnosti“; „O orgánoch Federálna služba Bezpečnosť v Ruskej federácii, „O štátnych tajomstvách“, „O zahraničnej spravodajskej službe“, „O účasti na medzinárodnej výmene informácií“, „O informáciách, informačné technológie a ochrany informácií“, „Zap digitálny podpis"a atď.
2. Regulačné právne akty prezidenta Ruskej federácie: Doktrína informačnej bezpečnosti Ruskej federácie; Stratégia národnej bezpečnosti Ruskej federácie do roku 2020 „O základoch štátnej politiky v oblasti informatizácie“, „O zozname informácií klasifikovaných ako štátne tajomstvo“ atď.
3. Normatívne právne akty vlády Ruskej federácie: „O certifikácii
prostriedkov ochrany informácií“, „O udeľovaní povolení na činnosť podnikov, inštitúcií a organizácií na vykonávanie prác súvisiacich s používaním informácií tvoriacich štátne tajomstvo, vytváranie prostriedkov na ochranu informácií, ako aj vykonávanie opatrení a (príp. ) poskytovanie služieb na ochranu štátneho tajomstva, „o povoľovaní niektorých druhov činností“ a pod.
4. Občiansky zákonník Ruskej federácie (štvrtá časť).
5. Trestný zákon Ruskej federácie.
vzadu posledné roky implementované v Rusku
súbor opatrení na zlepšenie jeho informačnej bezpečnosti. Boli realizované opatrenia na zaistenie informačnej bezpečnosti v orgánoch federálnej vlády, vládnych orgánoch jednotlivých subjektov Ruskej federácie, v podnikoch, inštitúciách a organizáciách bez ohľadu na formu vlastníctva. Pracuje sa na ochrane špeciálnych informačných a telekomunikačných systémov. Štátny systém ochrany informácií, systém ochrany štátneho tajomstva a certifikačné systémy nástrojov informačnej bezpečnosti prispievajú k efektívnemu riešeniu problémov informačnej bezpečnosti v Ruskej federácii.
Štátna technická komisia pod vedením prezidenta Ruskej federácie presadzuje jednotnú technickú politiku a koordinuje prácu v oblasti informačnej bezpečnosti, stojí na čele štátneho systému ochrany informácií pred technickým spravodajstvom a zabezpečuje ochranu informácií pred únikom cez technické kanálov v Rusku, monitoruje účinnosť prijatých ochranných opatrení.
Významnú úlohu v systéme informačnej bezpečnosti krajiny zohrávajú štátne a verejné organizácie: vykonávajú kontrolu nad štátnymi a neštátnymi masmédiami.
Úroveň informačnej bezpečnosti v Rusku zároveň úplne nezodpovedá potrebám spoločnosti a štátu. V podmienkach informačnej spoločnosti sa prehlbujú rozpory medzi verejnou potrebou rozšírenia a slobody výmeny informácií na jednej strane a potrebou zachovania určitých regulovaných obmedzení ich šírenia.
V súčasnosti neexistuje inštitucionálna podpora práv občanov zakotvených v Ústave Ruskej federácie v informačnej sfére (na súkromie, osobné tajomstvo, korešpondenčné tajomstvo a pod.). Odpočinok-
želania lepšia ochrana osobné údaje zhromaždené federálnymi úradmi.
Nejasnosť v realizácii štátnej politiky v oblasti formovania informačného priestoru Ruskej federácie, médií, medzinárodnej výmeny informácií a integrácie Ruska do svetového informačného priestoru.
Zlepšenie inštitucionálneho mechanizmu informačnej bezpečnosti štátu by podľa nášho názoru malo smerovať k riešeniu nasledujúcich dôležitých problémov.
Slabá praktická orientácia modernej ruskej legislatívy v informačnej sfére vytvára problémy právneho a metodického charakteru. Vyjadrujú sa názory, že Doktrína informačnej bezpečnosti Ruskej federácie nemá žiadnu aplikačnú hodnotu, obsahuje množstvo nepresností a metodických chýb. Objekty informačnej bezpečnosti v Doktríne sú teda uznané ako záujmy, jednotlivec, spoločnosť, štát - pojmy, ktoré nie sú navzájom porovnateľné. Mnohí vedci venovali pozornosť neprípustnosti akceptovania ochrany záujmov ako objektu informačnej bezpečnosti, a nie ich nositeľov.
Použitie týchto kategórií, ktorých obsah je vágny, nie je v legislatívnom dokumente celkom nevhodné. Napríklad subjektmi práva sú právne a jednotlivcov, organizácie, osoby bez štátnej príslušnosti, výkonné orgány. Do kategórie „štát“ patrí územie krajiny, jej obyvateľstvo (národy), politická moc, ústavný systém.
Doktrína informačnej bezpečnosti Ruskej federácie považuje za zdroje ohrozenia informačnej bezpečnosti:
Činnosť zahraničných štruktúr;
Vývoj koncepcií informačných vojen v niekoľkých štátoch;
Túžba viacerých krajín dominovať atď.
Zdrojom môže byť podľa G. Atamanova objekt alebo subjekt, ktorý sa zúčastňuje na informačnom procese alebo je schopný ho v tej či onej miere ovplyvniť. Napríklad v zákonoch USA zdroje hrozieb informačnej infraštruktúry zahŕňajú: hackerov, ktorí sú proti USA; teroristické skupiny; štáty, proti ktorým môže byť namierená protiteroristická operácia;
hackeri, zvedaví alebo sebapresadzujúci sa.
Nedostatky a rámcový charakter doktríny znižujú efektívnosť a obmedzujú rozsah jej aplikácie, udávajú nesprávny smer vývoja legislatívy v informačnej sfére a čoraz viac ju mätú.
Pre správne zabezpečenie informačnej bezpečnosti je potrebné vytvoriť vhodný systém právnych vzťahov, čo však nie je možné bez revízie kategoriálneho aparátu, doktrinálneho a koncepčného základu legislatívy v informačnej sfére.
2. Medzera medzi legislatívou a praxou v informačnej sfére.
Obrovská priepasť medzi legislatívou a praxou v informačnej sfére objektívne existuje v dôsledku rýchlosti a rozsahu rozvoja informačných technológií a internetu, ktoré okamžite vyvolávajú nové hrozby. Legislatívny proces je naopak dlhý a tŕnivý. Preto v moderné podmienky sú potrebné mechanizmy na zosúladenie vývoja zákonov s realitou rozvoja informačných technológií a informačnej spoločnosti. Je dôležité, aby backlog nebol príliš veľký, pretože to je spojené so znížením alebo stratou bezpečnosti informácií.
Preklenutie priepasti medzi praxou a legislatívou v informačnej sfére je nevyhnutné na zníženie a neutralizáciu hrozieb pre informačnú bezpečnosť vyplývajúcich z predbiehania rozvoja informačných technológií a vzniku vákua v legislatíve.
3. Nedostatok nadnárodných inštitúcií, ktoré garantujú informačnú bezpečnosť.
Je nemožné čeliť zločinom spáchaným na internete silami jednej krajiny. Prohibičné opatrenia zavedené na národnej úrovni nebudú účinné, pretože porušovatelia sa môžu nachádzať v zahraničí. Na boj proti nim je potrebné skonsolidovať úsilie na medzinárodnej úrovni a prijať medzinárodné pravidlá správania sa v internetovom priestore. Uskutočnili sa podobné pokusy. Budapeštiansky dohovor Rady Európy teda umožnil stíhanie porušovateľov na území iného štátu bez varovania jeho orgánov. To je dôvod, prečo mnohé krajiny považovali ratifikáciu tohto dokumentu za neprijateľnú.
Vzorový zákon „O základoch regulácie internetu“, schválený v pléne
zasadnutie Medziparlamentného zhromaždenia členských štátov SNŠ, ustanovuje postup štátnej podpory a regulácie internetu, ako aj pravidlá určovania miesta a času právne významných úkonov na sieti. Okrem toho zákon upravuje činnosť a povinnosti prevádzkovateľov služieb.
Je potrebné vziať na vedomie ratifikáciu dokumentu umožňujúceho výmenu dôverných informácií na území Ruska, Bieloruska a Kazachstanu. Ide o protokol, ktorý určuje postup poskytovania informácií obsahujúcich dôverné informácie pre šetrenia pred zavedením osobitných ochranných, antidumpingových a vyrovnávacích opatrení vo vzťahu k tretím krajinám. Ide o veľmi dôležitú dohodu medzi členskými štátmi colnej únie, ktorá umožňuje spoločne rozvíjať a budovať ochranné antidumpingové a vyrovnávacie opatrenia. Dnes sa tak vytvoril pevný regulačný rámec, ktorý vytvára zásadne nový nadnárodný orgán oprávnený nielen viesť vyšetrovanie, zhromažďovať dôkazy, ale ich aj chrániť pred únikmi a určovať postup pri ich poskytovaní.
Formovanie nadnárodných inštitúcií v informačnej sfére umožní prekonať obmedzenia národnej legislatívy v boji proti informačnej kriminalite.
4. Nedostatok inštitúcií internetového priestoru.
V súčasnosti by sa v medzinárodnom práve mali objaviť také nové inštitúty, ktoré upravujú interakciu subjektov v internetovom priestore, ako napríklad „elektronická hranica“, „elektronická suverenita“, „elektronické zdaňovanie“ a iné. Pomôže to prekonať latentnú povahu počítačovej kriminality, t.j. zvýšenie odhaľovania počítačovej kriminality.
5. Rozvoj verejno-súkromného partnerstva v informačnej sfére.
Zaujímavá dilema vzniká v súvislosti s túžbou vládnych organizácií zverejňovať správy o stave ich systému informačnej bezpečnosti. Na jednej strane tieto publikácie odrážajú snahu štátu udržiavať systém kybernetickej bezpečnosti na správnej úrovni. Zdá sa, že takýto výsledok by mal viesť k efektívnejšej štruktúre výdavkov na kybernetickú bezpečnosť. Ale na druhej strane zverejňovanie informácií o nedostatkoch systému kybernetickej bezpečnosti
Vedecký a praktický časopis. ISSN 1995-5731
bezpečnosť vládne organizácie s väčšou pravdepodobnosťou budú zraniteľné voči útokom hackerov, čo si vyžaduje viac zdrojov na ich odrazenie a prevenciu.
Za najväčší problém pri zabezpečovaní spolupráce a výmeny informácií súvisiacich s bezpečnosťou medzi vládnymi agentúrami a korporáciami Gordon a Loeb považujú problém „free-ridingu“ (//tee-^et). Zdalo by sa, že keďže bezpečnosť počítačových sietí závisí od konania každého účastníka, takáto spolupráca je najlepším spôsobom, ako zvýšiť efektivitu vynaložených prostriedkov na zabezpečenie kybernetickej bezpečnosti. Úspešná výmena informácií a skúseností v oblasti kybernetickej bezpečnosti by mohla umožniť koordináciu takýchto aktivít na národnej a medzinárodnej úrovni. V skutočnosti však vedie strach firmy zo straty konkurenčných výhod účasťou na takejto sieťovej spolupráci a poskytovaním úplných informácií o sebe
od poskytovania úplné informácie. Situáciu tu môže zmeniť len rozvoj verejno-súkromných partnerstiev založených na zavedení dostatočne významných ekonomických stimulov.
Inštitucionálny mechanizmus na zabezpečenie informačnej bezpečnosti štátu teda zahŕňa formovanie legislatívnych základov a inštitucionálnych štruktúr, ktoré ju zabezpečujú. Zlepšiť inštitucionálny mechanizmus a sformovať novú architektúru ekonomickej bezpečnosti v podmienkach o informačnej ekonomiky bol navrhnutý systém opatrení, medzi ktoré patrí: prekonanie deklaratívneho charakteru legislatívy a zúženie priepasti medzi legislatívou a praxou v informačnej sfére, formovanie nadnárodnej legislatívy v informačnej sfére, vytváranie nových inštitúcií, ktoré určujú rámec pre interakciu a pravidlá správania sa v internetovom priestore.
Bibliografický zoznam (odkazy)
1. Inshakov O.V., Lebedeva N.N. Ekonomické a inštitucionálne mechanizmy: korelácia a interakcia v podmienkach sociálnej a trhovej transformácie ruskej ekonomiky // Bulletin Petrohradu. štát unta. Ser. 5. 2008. Vydanie. 4 (č. 16).
2. Dzliev M.I., Romanovich A.L., Ursul A.D. Otázky bezpečnosti: teoretické a metodologické aspekty. M., 2001.
3. Atamanov G. A. Informačná bezpečnosť v modernej ruskej spoločnosti (sociálny a filozofický aspekt): dis. ... cukrík. filozofia vedy. Volgograd, 2006.
4. Kononov A. A., Smolyan G. L. Informačná spoločnosť: Total Risk Society or Guaranteed Security Society? // Informačná spoločnosť. 2002. Číslo 1.
1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i inštitucionálny "nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. ide. unta. Ser. 5. Vyp. 4 (č. 16).
2. Dzliyev M.I., Romanovič A.L., Ursul A.D. (2001) Problémová bezpečnosť: teoretiko-metodologicheskiye aspekty. M.
3. Atamanov G.A. (2006) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt) . Volgograd.
4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total "nogo riska or obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. No. 1.
Prijaté ochranné opatrenia by mali byť primerané pravdepodobnosti implementácie tohto typu hrozba a potenciálna škoda, ktorá by mohla byť spôsobená, ak by sa hrozba naplnila (vrátane nákladov na obranu proti nej).
Treba mať na pamäti, že mnohé ochranné opatrenia si vyžadujú dostatočne veľké výpočtové zdroje, čo následne výrazne ovplyvňuje proces spracovania informácií. Moderným prístupom k riešeniu tohto problému je preto uplatňovanie princípov situačného riadenia bezpečnosti informačných zdrojov v automatizovaných riadiacich systémoch. Podstata tohto prístupu spočíva v tom, že požadovaná úroveň informačnej bezpečnosti je nastavená v súlade so situáciou, ktorá určuje pomer medzi hodnotou spracovávaných informácií, nákladmi (pokles výkonnosti automatizovaných riadiacich systémov, dodatočné Náhodný vstup do pamäťe atď.), ktoré sú potrebné na dosiahnutie tejto úrovne, a prípadné celkové straty (materiálne, morálne a pod.) zo skreslenia a neoprávneného použitia informácií.
Potrebné charakteristiky ochrany informačných zdrojov sa zisťujú v priebehu situačného plánovania pri priamej príprave technologického procesu bezpečného spracovania informácií s prihliadnutím na aktuálnu situáciu a tiež (v zníženom objeme) aj počas procesu spracovania. Pri výbere ochranných opatrení treba brať do úvahy nielen priame náklady na nákup zariadení a programov, ale aj náklady na zavádzanie nových produktov, školenia a preškoľovanie personálu. Dôležitou okolnosťou je kompatibilita nového nástroja s existujúcou hardvérovou a softvérovou štruktúrou objektu.
Zahraničné skúsenosti v oblasti ochrany duševného vlastníctva a domáce skúsenosti s ochranou štátneho tajomstva ukazujú, že efektívna môže byť len komplexná ochrana, ktorá spája také oblasti ochrany ako právnu, organizačnú a inžiniersku.
Právny smer ustanovuje tvorbu súboru legislatívnych aktov, regulačných dokumentov, nariadení, pokynov, usmernení, ktorých požiadavky sú povinné v rámci rozsahu ich činnosti v systéme informačnej bezpečnosti.
Organizačné smerovanie- ide o úpravu produkčnej činnosti a vzťahu výkonných umelcov na právnom základe tak, aby sa organizačné opatrenia znemožnili alebo výrazne sťažili zverejnenie, únik a neoprávnený prístup k dôverným informáciám.
Podľa odborníkov zohrávajú organizačné opatrenia dôležitú úlohu pri vytváraní spoľahlivého mechanizmu na ochranu informácií, pretože možnosť neoprávneného použitia dôverných informácií nie je z veľkej časti spôsobená technickými aspektmi, ale škodlivými činmi, nedbalosťou, nedbalosťou a nedbalosťou používateľov alebo bezpečnosťou. personál.
Organizačné aktivity zahŕňajú:
Činnosti vykonávané v oblasti projektovania, výstavby a vybavenia kancelárskych a priemyselných budov a priestorov;
Činnosti vykonávané pri výbere personálu;
Organizácia a udržiavanie spoľahlivej kontroly vstupu, bezpečnosť priestorov a územia, kontrola návštevníkov;
Organizovanie skladovania a používania dokumentov a nosičov dôverných informácií;
Organizácia informačnej bezpečnosti;
Organizácia pravidelných školení zamestnancov.
Jednou z hlavných zložiek organizačnej informačnej bezpečnosti spoločnosti je Služba informačnej bezpečnosti (ISS - orgán riadenia systému informačnej bezpečnosti). Účinnosť opatrení informačnej bezpečnosti do značnej miery závisí od odbornej prípravy zamestnancov služieb informačnej bezpečnosti, dostupnosti moderných nástrojov riadenia bezpečnosti v ich arzenáli. Jeho personálna štruktúra, veľkosť a zloženie sú určené skutočnými potrebami spoločnosti, stupňom dôvernosti jej informácií a celkovým stavom bezpečnosti.
Hlavným účelom fungovania ISS s využitím organizačných opatrení a softvéru a hardvéru je vyhnúť sa alebo aspoň minimalizovať možnosť porušenia bezpečnostnej politiky, v krajnom prípade včas spozorovať a eliminovať následky narušenia.
Na zabezpečenie úspešného fungovania SIS je potrebné určiť jej práva a povinnosti, ako aj pravidlá pre interakciu s ostatnými zložkami v otázkach ochrany informácií v zariadení. Počet služieb by mal byť dostatočný na vykonávanie všetkých funkcií, ktoré sú mu pridelené. Je žiaduce, aby pracovníci služby nemali povinnosti súvisiace s fungovaním predmetu ochrany. Služba informačnej bezpečnosti musí mať zabezpečené všetky podmienky potrebné na výkon jej funkcií.
jadro inžiniersky a technický smer sú softvérové a hardvérové nástroje informačnej bezpečnosti, ktoré zahŕňajú mechanické, elektromechanické, elektronické, optické, laserové, rádiové a rádiotechnické, radarové a iné zariadenia, systémy a štruktúry určené na zaistenie bezpečnosti a ochrany informácií.
Pod softvér informačná bezpečnosť sa chápe ako súbor špeciálne programy, uvedomujúc si funkcie ochrany informácií a spôsob fungovania.
Vytvorený súbor právnych, organizačných a inžinierskych opatrení vyúsťuje do vhodnej bezpečnostnej politiky.
Bezpečnostná politika určuje vzhľad systému informačnej bezpečnosti vo forme súboru právnych noriem, organizačných (právnych) opatrení, súboru softvérových a hardvérových nástrojov a procesných riešení zameraných na boj proti hrozbám s cieľom eliminovať alebo minimalizovať možné následky informácií. dopady. Po prijatí tej či onej verzie bezpečnostnej politiky je potrebné posúdiť úroveň bezpečnosti informačného systému. Prirodzene, hodnotenie bezpečnosti sa vykonáva podľa súboru ukazovateľov, z ktorých hlavné sú náklady, efektívnosť a uskutočniteľnosť.
Vyhodnotenie možností budovania systému informačnej bezpečnosti je pomerne komplikovaná úloha vyžadujúca použitie moderných matematických metód na multiparametrické hodnotenie výkonnosti. Patria sem: metóda analýzy hierarchií, expertné metódy, metóda postupných ústupkov a mnohé ďalšie.
Keď sa prijmú zamýšľané opatrenia, je potrebné skontrolovať ich účinnosť, teda uistiť sa, že zvyškové riziká sa stali prijateľnými. Až potom je možné stanoviť dátum ďalšieho precenenia. V opačnom prípade budete musieť analyzovať vykonané chyby a vykonať druhú reláciu analýzy zraniteľnosti, berúc do úvahy zmeny v systéme ochrany.
Vygenerovaný možný scenár konania narušiteľa vyžaduje overenie systému informačnej bezpečnosti. Tento test sa nazýva "penetračný test". Cieľom je poskytnúť istotu, že neexistujú jednoduché spôsoby, ako by neoprávnený používateľ obišiel bezpečnostné mechanizmy.
Jeden z možné spôsoby atestácie zabezpečenia systému – pozývanie hackerov na hackovanie bez predchádzajúceho upozornenia personálu siete. Na tento účel je pridelená skupina dvoch alebo troch ľudí s vysokým odborným vzdelaním. Hackerom je poskytnutý chránený automatizovaný systém a skupina sa snaží nájsť zraniteľné miesta počas 1-3 mesiacov a na ich základe vyvinúť testovacie nástroje na obídenie ochranných mechanizmov. Najatí hackeri predkladajú dôvernú správu o výsledkoch práce s hodnotením úrovne dostupnosti informácií a odporúčaniami na zlepšenie ochrany.
Spolu s touto metódou sa používajú nástroje na testovanie softvéru.
Na javisku vypracovanie plánu ochrany v súlade so zvolenou bezpečnostnou politikou je vypracovaný plán jej realizácie. Plán ochrany je dokument, ktorým sa uvádza do platnosti systém ochrany informácií, ktorý schvaľuje vedúci organizácie. Plánovanie nie je len o najlepšie využitie všetkými možnosťami, ktoré má spoločnosť k dispozícii, vrátane pridelených zdrojov, ale aj s predchádzaním chybným konaniam, ktoré by mohli viesť k zníženiu účinnosti prijatých opatrení na ochranu informácií.
Plán bezpečnosti informácií o lokalite by mal obsahovať:
Popis chráneného systému (hlavné charakteristiky chráneného objektu: účel objektu, zoznam úloh, ktoré sa majú riešiť, konfigurácia, vlastnosti a umiestnenie hardvéru a softvéru, zoznam kategórií informácií (balíky, súbory, súbory a databázy, v ktorých sa nachádzajú), ktoré sa majú chrániť, a požiadavky na zabezpečenie prístupu, dôvernosti, integrity týchto kategórií informácií, zoznam používateľov a ich oprávnenie na prístup k systémovým zdrojom atď.);
Účel ochrany systému a spôsoby zaistenia bezpečnosti automatizovaného systému a informácií, ktoré v ňom cirkulujú;
Zoznam významných hrozieb pre bezpečnosť automatizovaného systému, pred ktorými sa vyžaduje ochrana, a najpravdepodobnejšie spôsoby spôsobenia škody;
Politika informačnej bezpečnosti;
Plán umiestnenia finančných prostriedkov a funkčný diagram systému informačnej bezpečnosti v zariadení;
Špecifikácia nástrojov informačnej bezpečnosti a odhady nákladov na ich implementáciu;
Kalendárový plán vykonávania organizačných a technických opatrení na ochranu informácií, postup uvedenia prostriedkov ochrany do účinnosti;
Základné pravidlá upravujúce činnosť personálu v otázkach zabezpečenia informačnej bezpečnosti zariadenia (špeciálne povinnosti úradníkov obsluhujúcich automatizovaný systém);
Postup pri preskúmaní plánu a modernizácii prostriedkov ochrany.
Plán ochrany sa reviduje pri zmene nasledujúcich komponentov objektu:
Architektúra informačný systém(pripojenie ďalších lokálnych sietí, zmena alebo úprava používaného počítačového vybavenia alebo softvéru);
Územné umiestnenie komponentov automatizovaného systému.
V rámci plánu ochrany je potrebné mať akčný plán pre personál v kritických situáciách, t.j. plán zásobovania nepretržitá práca a obnovu informácií. Odráža:
Účelom zabezpečenia kontinuity procesu fungovania automatizovaného systému, obnovy jeho výkonu a spôsobov jeho dosiahnutia;
Zoznam a klasifikácia možných krízových situácií;
Požiadavky, opatrenia a prostriedky na zabezpečenie nepretržitej prevádzky a obnovy procesu spracovania informácií (postup vytvárania, uchovávania a používania zálohy informácie, údržba aktuálnych, dlhodobých a núdzových archívov; zloženie záložného vybavenia a postup jeho použitia atď.);
Zodpovednosti a postup pri konaní rôznych kategórií personálu systému v krízových situáciách, v prípade likvidácie ich následkov, minimalizácie spôsobených škôd a pri obnove normálneho fungovania systému.
Ak organizácia vymení elektronické dokumenty s partnermi pri vykonávaní jednotlivých objednávok je potrebné do plánu ochrany zahrnúť dohodu o postupe pri organizovaní výmeny elektronických dokumentov, ktorá zohľadňuje tieto otázky:
Oddelenie zodpovednosti subjektov podieľajúcich sa na procesoch elektronickej výmeny dokumentov;
Stanovenie postupu prípravy, vyhotovenia, prenosu, prijatia, overenia pravosti a integrity elektronických dokumentov;
Postup pri generovaní, certifikácii a distribúcii kľúčových informácií (kľúče, heslá atď.);
Postup pri riešení sporov v prípade konfliktov.
Plán informačnej bezpečnosti je balík textových a grafických dokumentov, preto spolu s vyššie uvedenými komponentmi tohto balíka môže zahŕňať:
Nariadenie o obchodnom tajomstve, ktorým sa vymedzuje zoznam informácií tvoriacich obchodné tajomstvo a postup pri jeho zisťovaní, ako aj povinnosti úradníkov pri ochrane obchodného tajomstva;
Predpisy o ochrane informácií, ktoré upravujú všetky oblasti činnosti na vykonávanie bezpečnostnej politiky, ako aj množstvo doplňujúcich pokynov, pravidiel, predpisov, ktoré zodpovedajú špecifikám predmetu ochrany.
Implementácia plánu ochrany (riadenie systému ochrany) zahŕňa vypracovanie potrebných dokumentov, uzatváranie zmlúv s dodávateľmi, inštaláciu a konfiguráciu zariadení atď. Po vytvorení informačného bezpečnostného systému je vyriešená úloha jeho efektívneho využívania, t. j. riadenia bezpečnosti.
Riadenie je proces cieľavedomého ovplyvňovania objektu, ktorý sa uskutočňuje s cieľom organizovať jeho fungovanie podľa daného programu.
Riadenie informačnej bezpečnosti by malo byť:
Odolné voči aktívnemu rušeniu zo strany narušiteľa;
Nepretržitý, poskytujúci neustály vplyv na proces ochrany;
Skryté, neumožňujúce odhaliť organizáciu riadenia informačnej bezpečnosti;
Operatívne, poskytujúce možnosť včas a primerane reagovať na akcie narušiteľov a implementovať rozhodnutia manažmentu do daného dátumu.
Okrem toho by rozhodnutia o informačnej bezpečnosti mali byť odôvodnené z hľadiska komplexného zváženia podmienok na plnenie úlohy, aplikácie rôzne modely, výpočtové a informačné úlohy, expertné systémy, skúsenosti a akékoľvek ďalšie údaje, ktoré zvyšujú spoľahlivosť prvotných informácií a rozhodnutí.
Ukazovateľom efektívnosti riadenia informačnej bezpečnosti je čas kontrolného cyklu pre danú kvalitu rozhodnutí. Riadiaci cyklus zahŕňa zhromažďovanie potrebných informácií na posúdenie situácie, rozhodovanie, vytváranie vhodných príkazov a ich vykonávanie. Ako kritérium efektívnosti je možné použiť čas odozvy systému informačnej bezpečnosti na porušenie, ktorý by podľa svojej hodnoty nemal presiahnuť čas zastarania informácií.
Ako ukazuje vývoj reálnych automatizovaných riadiacich systémov, žiadna z metód (opatrení, prostriedkov a činností) na zabezpečenie informačnej bezpečnosti nie je absolútne spoľahlivá a maximálny efekt sa dosiahne, keď sa všetky spoja do uceleného systému ochrany informácií. Len optimálna kombinácia organizačných, technických a programových opatrení, ako aj neustála pozornosť a kontrola udržiavania systému ochrany v aktuálnom stave, umožní zabezpečiť riešenie stálej úlohy s najväčšou účinnosťou.
Metodologickým základom pre zaistenie informačnej bezpečnosti sú pomerne všeobecné odporúčania založené na svetových skúsenostiach s tvorbou podobné systémy. Úlohou každého špecialistu na informačnú bezpečnosť je prispôsobiť abstraktné ustanovenia svojej konkrétnej tematickej oblasti (organizácia, banka), ktorá má vždy svoje osobitosti a jemnosti.
Analýza domácich a zahraničných skúseností presvedčivo dokazuje potrebu vytvorenia integrovaného systému informačnej bezpečnosti spoločnosti, ktorý prepája prevádzkové, prevádzkové, technické a organizačné ochranné opatrenia. Bezpečnostný systém by mal byť navyše optimálny z hľadiska pomeru nákladov a hodnoty chránených zdrojov. Systém potrebuje flexibilitu a adaptáciu na rýchlo sa meniace faktory prostredia, organizačné a sociálne podmienky v inštitúcii. Nie je možné dosiahnuť takúto úroveň bezpečnosti bez analýzy existujúcich hrozieb a možných kanálov úniku informácií, ako aj bez vypracovania politiky informačnej bezpečnosti v podniku. V dôsledku toho musí byť vytvorený plán ochrany, ktorý implementuje princípy stanovené v bezpečnostnej politike.
No sú tu aj ďalšie ťažkosti a „úskalia“, na ktoré si určite treba dať pozor. Ide o problémy, ktoré boli identifikované v praxi a sú len slabo prístupné formalizácii: problémy sociálneho a politického charakteru, ktoré nie sú technického alebo technologického charakteru, ktoré sa riešia tak či onak.
Problém 1. Nedostatočné pochopenie medzi zamestnancami a manažérmi stredných a nižších tried pre potrebu pracovať na zlepšení úrovne informačnej bezpečnosti.
Na tejto priečke manažérskeho rebríčka spravidla nie sú viditeľné strategické úlohy, ktorým organizácia čelí. Súčasne môžu bezpečnostné problémy dokonca spôsobiť podráždenie - vytvárajú "zbytočné" ťažkosti.
Nasledujúce argumenty sa často uvádzajú proti práci a prijímaniu opatrení na zaistenie bezpečnosti informácií:
Vznik ďalších obmedzení pre koncových používateľov a špecialistov oddelení, čo im sťažuje používanie automatizovaného organizačného systému;
Potreba dodatočných materiálových nákladov tak na vykonávanie takejto práce, ako aj na rozšírenie personálu špecialistov zaoberajúcich sa problémom informačnej bezpečnosti.
Tento problém je jedným z hlavných. Všetky ostatné otázky tak či onak pôsobia ako ich dôsledky. Na jej prekonanie je dôležité vyriešiť tieto úlohy: po prvé, zlepšiť zručnosti personálu v oblasti informačnej bezpečnosti organizovaním špeciálnych stretnutí a seminárov; po druhé, zvýšiť úroveň informovanosti zamestnancov, najmä o strategických úlohách, ktorým organizácia čelí.
Problém 2 Konfrontácia medzi automatizačnou službou a bezpečnostnou službou organizácií.
Tento problém je spôsobený typom činnosti a sférou vplyvu, ako aj zodpovednosťou týchto štruktúr v rámci podniku. Implementácia systému ochrany je v rukách technických špecialistov a zodpovednosť za jeho zabezpečenie nesie bezpečnostná služba. Bezpečnostní špecialisti chcú za každú cenu obmedziť pomocou firewally všetku premávku. Ale ľudia, ktorí pracujú v oddeleniach automatizácie, nie sú ochotní riešiť ďalšie problémy spojené s údržbou špeciálnych nástrojov. Takéto nezhody nemajú najlepší vplyv na úroveň bezpečnosti celej organizácie.
Tento problém, ako väčšina podobných, sa rieši čisto manažérskymi metódami. V prvom rade je dôležité mať v organizačnej štruktúre spoločnosti mechanizmus na riešenie takýchto sporov. Obe služby môžu mať napríklad jedného šéfa, ktorý bude riešiť problémy ich interakcie. Po druhé, technologická a organizačná dokumentácia by mala jasne a kompetentne rozdeliť sféry vplyvu a zodpovednosti oddelení.
Problém 3. Osobné ambície a vzťahy na úrovni stredných a vyšších manažérov.
Vzťahy medzi lídrami môžu byť rôzne. Niekedy pri práci na štúdiu informačnej bezpečnosti jeden alebo druhý úradník prejaví prílišný záujem o výsledky týchto prác. Výskum je skutočne dostatočne účinný nástroj na vyriešenie ich konkrétnych problémov a uspokojenie ich ambícií. Závery a odporúčania zaznamenané v správe sa používajú ako plán pre ďalšie činnosti jedného alebo druhého prepojenia. „Voľná“ interpretácia záverov správy je možná aj v kombinácii s problémom 5 opísaným nižšie. Táto situácia je krajne nežiaducim faktorom, pretože skresľuje zmysel práce a vyžaduje si včasnú identifikáciu a elimináciu na úrovni vrcholového manažmentu podniku. Najlepšia možnosť obchodné vzťahy sú vtedy, keď sú záujmy organizácie v popredí, a nie osobné.
Problém 4. Nízka úroveň implementácie plánovaného akčného programu na vytvorenie systému informačnej bezpečnosti.
Ide o dosť banálnu situáciu, keď sa strategické ciele a zámery strácajú na úrovni realizácie. Všetko môže začať perfektne. O potrebe zlepšenia systému informačnej bezpečnosti rozhoduje generálny riaditeľ. Na vykonanie auditu je najatá nezávislá poradenská firma existujúci systém ochranu informácií. Po dokončení sa vygeneruje report, ktorý obsahuje všetky potrebné odporúčania na ochranu informácií, dopracovanie existujúceho workflow v oblasti informačnej bezpečnosti, zavedenie technických prostriedkov ochrany informácií a organizačných opatrení a ďalšiu podporu vytvoreného systému. Plán ochrany zahŕňa krátkodobé a dlhodobé opatrenia. Ďalšie odporúčania sa prenesú na vykonanie do jedného z oddelení. A tu je dôležité, aby sa neutopili v bažine byrokracie, osobných ambícií, malátnosti personálu a tuctu ďalších dôvodov. Dodávateľ môže byť slabo informovaný, nedostatočne kompetentný alebo jednoducho nemá záujem o vykonanie práce. Je dôležité, aby generálny riaditeľ monitoroval realizáciu plánovaného plánu, aby po prvé nestratil prostriedky investované do bezpečnosti v počiatočnej fáze a po druhé, aby neutrpel straty v dôsledku nedostatku tohto zabezpečenia. .
Problém 5. Nízka kvalifikácia špecialistov informačnej bezpečnosti.
Toto hľadisko nemožno považovať za závažnú prekážku, ak nie je prekážkou vytvorenia systému informačnej bezpečnosti. Faktom je, že plán ochrany spravidla zahŕňa také podujatie, ako je pokročilé školenie špecialistov v oblasti ochrany informácií v spoločnosti. Pre špecialistov z iných služieb je možné uskutočniť semináre o základoch organizácie informačnej bezpečnosti. Je potrebné správne posúdiť skutočnú kvalifikáciu zamestnancov podieľajúcich sa na realizácii plánu ochrany. Nesprávne závery alebo neschopnosť aplikovať metódy ochrany v praxi často vedie k ťažkostiam pri implementácii odporúčaných opatrení. Pri náznaku takýchto okolností by najsprávnejším východiskom bolo zlepšenie zručností špecialistov na informačnú bezpečnosť vo vzdelávacích centrách špeciálne vytvorených na tento účel.
Praktické aktivity v oblasti zlepšovania ekonomickej a informačnej bezpečnosti teda jednoznačne dokazujú, že vytvorenie reálneho systému informačnej bezpečnosti je vo veľkej miere závislé od včasného riešenia týchto problémov. Nazbierané skúsenosti však ukazujú, že všetky diskutované problémy je možné úspešne vyriešiť, ak budú zástupcovia objednávateľa a vykonávajúcej spoločnosti úzko spolupracovať. Hlavnou vecou je uvedomiť si dôležitosť vykonávania takejto práce, včas identifikovať existujúce hrozby a uplatniť primerané protiopatrenia, ktoré sú spravidla špecifické pre každý konkrétny podnik. Prítomnosť túžby a príležitostí je dostatočnou podmienkou pre plodnú prácu, ktorej účelom by bolo vytvorenie integrovaného systému na zabezpečenie bezpečnosti organizácie.
| Predchádzajúce |
Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár
Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.
Hostené na http://www.allbest.ru/
PROJEKT KURZU
V disciplíne „Bezpečnosť informácií“
K téme
„Zlepšenie systému informačnej bezpečnosti na
podnik LLC "Rúra"
Úvod
Keď už hovoríme o informačnej bezpečnosti, v súčasnosti to znamená počítačovú bezpečnosť. Skutočne, informácie v elektronické média zohráva čoraz dôležitejšiu úlohu v modernej spoločnosti. Zraniteľnosť takýchto informácií je spôsobená množstvom faktorov: obrovské objemy, viacbodový a prípadná anonymita prístupu, možnosť „sabotáže informácií“... To všetko dáva za úlohu zabezpečiť bezpečnosť informácií umiestnených v počítačového prostredia, oveľa ťažší problém ako povedzme zachovanie tajomstva klasickej poštovej korešpondencie.
Ak hovoríme o bezpečnosti informácií uložených na tradičných médiách (papier, fotografické výtlačky atď.), tak ich bezpečnosť sa dosiahne dodržiavaním opatrení fyzická ochrana(t. j. ochrana pred neoprávneným vstupom do priestoru na ukladanie médií). Ďalšie aspekty ochrany takýchto informácií súvisia s prírodnými katastrofami a katastrofami spôsobenými ľudskou činnosťou. Pojem „počítačovej“ informačnej bezpečnosti ako celku je teda vo vzťahu k „tradičným“ médiám širší ako informačná bezpečnosť.
Ak hovoríme o rozdieloch v prístupoch k riešeniu problému informačnej bezpečnosti na rôznych úrovniach (štátna, regionálna, úroveň jednej organizácie), tak takéto rozdiely jednoducho neexistujú. Prístup k zaisteniu bezpečnosti Štátneho automatizovaného systému „Voľby“ sa nelíši od prístupu k zaisteniu bezpečnosti lokálna sieť v malej firme. Zásady zaistenia informačnej bezpečnosti sú preto v tomto príspevku uvažované na príkladoch činnosti samostatnej organizácie.
Účelom projektu kurzu je zlepšiť systém informačnej bezpečnosti spoločnosti Oven LLC. úlohy ročníková práca bude - analýza spoločnosti Oven LLC, jej zdrojov, štruktúry a existujúceho systému informačnej bezpečnosti v podniku a hľadanie spôsobov na jeho zlepšenie.
V prvej fáze bude vykonaná analýza systému informačnej bezpečnosti. Na základe získaných výsledkov sa v druhej fáze vyhľadajú metódy na zlepšenie ochrany informácií, ak existujú slabé stránky v tomto systéme.
1. Analýza systému informačnej bezpečnosti v spoločnosti Oven LLC
1.1 Charakteristika podniku. Organizačná štruktúra podniku. Služba zaoberajúca sa informačnými zdrojmi a ich ochranou
Úplný názov spoločnosti je Spoločnosť s ručením obmedzeným „Aries“. Skrátený názov spoločnosti je Oven LLC. Ďalej v texte Spoločnosť. Spoločnosť nemá žiadne pobočky a zastúpenia, jej jediné centrum sa nachádza v regióne Perm, okres Suksunsky, obec Martyanovo.
Spolok vznikol v roku 1990 ako malá farma a mal troch zakladateľov. Po reorganizácii farmy na roľnícke hospodárstvo v roku 1998 zostal jediný zriaďovateľ. Posledná reorganizácia prebehla v apríli 2004. Od 1. apríla sa podnik stal známym pod názvom Aries Limited Liability Company.
Hlavnou činnosťou firmy je pestovanie poľnohospodárskych produktov, osivového materiálu, predaj poľnohospodárskych produktov. Dnes v Rusku spoločnosť zaujíma trináste miesto medzi zemiakovými farmami a prvé na území Perm.
Adresa sídla: Rusko, 617553, Permské územie, Suksunskij, obec Martyanovo.
Ciele podniku ako celku:
· Poberanie zisku z hlavnej činnosti.
· Zvýšenie konkurencieschopnosti produktov a rozšírenie odbytových trhov.
· Koncentrácia kapitálu a zvýšenie investičných zdrojov na realizáciu investičných a iných projektov.
Podnikateľské poslanie spoločnosti:
1. Naďalej zaujímajte vedúce postavenie na trhu.
2. Vytvorenie semennej farmy.
Organizačná štruktúra podniku.
Spoločnosť využíva lineárno-funkčnú štruktúru. V lineárno-funkčnej štruktúre sa vytvára hierarchia služieb. V tejto štruktúre majú vedúci funkčných jednotiek právo dávať príkazy ďalšej úrovni riadenia o funkčných otázkach.
Štruktúra podniku je znázornená na obrázku 1.
Hostené na http://www.allbest.ru/
Hostené na http://www.allbest.ru/
Obrázok 1 - Organizačná štruktúra spoločnosti Aries LLC
1.2 Analýza a charakteristika informačných zdrojov podniku
Dnes sa každý zaujíma o bezpečnosť podnikových informácií. Jednotlivé programy aj celé komplexy určené na ochranu dát sú čoraz populárnejšie. Nikto sa však nezamýšľa nad tým, že môžete mať spoľahlivú ochranu koľko chcete, no napriek tomu stratíte dôležitá informácia. Pretože jeden z vašich zamestnancov to bude považovať za bezvýznamné a vystaví to verejnosti. A ak ste si istí, že ste pred tým chránení, potom ste na veľkom omyle. Na prvý pohľad táto situácia vyzerá ako niečo neskutočné, ako vtip. To sa však stáva a stáva sa to často. Technický personál, ktorý sa v drvivej väčšine prípadov zaoberá otázkami informačnej bezpečnosti, totiž nie vždy rozumie tomu, ktoré údaje by mali byť skryté a ktoré nie. Aby ste to pochopili, musíte si rozložiť všetky informácie odlišné typy, ktoré sa zvyčajne nazývajú typy a jasne vymedzujú hranice medzi nimi.
V skutočnosti všetky spoločnosti špecializujúce sa na dodávky komplexných systémov na zaistenie bezpečnosti počítačových informácií berú do úvahy rozdelenie údajov na odlišné typy. Tu si treba dávať pozor. Faktom je, že západné produkty dodržiavajú medzinárodné normy (najmä ISO 17799 a niektoré ďalšie). Všetky údaje sú podľa nich rozdelené do troch typov: otvorené, dôverné a prísne dôverné. Zatiaľ sa u nás podľa platnej legislatívy používa trochu iné rozlíšenie: otvorené informácie, na interné použitie a dôverné.
Otvorená znamená akúkoľvek informáciu, ktorú možno voľne preniesť na iné osoby, ako aj umiestniť do médií. Najčastejšie sa prezentuje vo forme tlačových správ, vystúpení na konferenciách, prezentáciách a výstavách, samostatných (prirodzene, pozitívnych) prvkov štatistiky. Okrem toho tento sup zahŕňa všetky údaje získané z otvorených externých zdrojov. A za verejné sa, samozrejme, považujú aj informácie určené pre firemný web.
Na prvý pohľad sa zdá, že otvorené informácie nepotrebujú ochranu. Ľudia však zabúdajú, že dáta sa dajú nielen ukradnúť, ale aj nahradiť. Preto je udržiavanie integrity otvorených informácií veľmi dôležitou úlohou. V opačnom prípade sa namiesto vopred pripravenej tlačovej správy môže ukázať ako nepochopiteľná. Alebo Hlavná stránka firemná webová stránka bude nahradená urážlivými nápismi. Preto je potrebné chrániť aj verejné informácie.
Ako každý iný podnik, aj spoločnosť otvorené informácie obsiahnuté najmä v prezentáciách zobrazovaných potenciálnym investorom.
Informácie na interné použitie zahŕňajú všetky údaje, ktoré zamestnanci používajú pri plnení svojich pracovných povinností. To však nie je všetko. Táto kategória zahŕňa všetky informácie, ktoré si medzi sebou vymieňajú rôzne oddelenia alebo pobočky na zabezpečenie ich výkonu. A napokon posledným typom údajov spadajúcim do tejto kategórie údajov sú informácie získané z otvorených zdrojov a podrobené spracovaniu (štrukturalizácia, úprava, objasnenie).
V skutočnosti všetky tieto informácie, aj keď sa dostanú do rúk konkurentov alebo narušiteľov, nemôžu spôsobiť vážne škody spoločnosti. Nejaká škoda z jej únosu však stále môže byť. Predpokladajme, že zamestnanci zozbierali správy pre svojho šéfa na tému, ktorá ho zaujíma, spomedzi ktorých si vybrali najdôležitejšie správy a označili ich. Takýto súhrn je jednoznačne informácia na interné použitie (informácie získané z otvorených zdrojov a podrobené spracovaniu). Na prvý pohľad sa zdá, že konkurenti, ktorí ho získajú, z neho nebudú môcť ťažiť. V skutočnosti však vedia odhadnúť, akým smerom sa zaujíma vedenie vašej spoločnosti, a ktovie, možno sa im podarí aj vás predbehnúť. Preto informácie pre interné použitie musia byť chránené nielen pred zámenou, ale aj pred neoprávneným prístupom. Je pravda, že vo veľkej väčšine prípadov sa môžete obmedziť na bezpečnosť miestnej siete, pretože nie je ekonomicky výhodné utrácať za to veľké sumy.
Tento typ informácií je prezentovaný aj v podniku, ktorý je obsiahnutý v rôznych druhoch správ, zoznamov, výpisov atď.
Dôverné informácie - zdokumentované informácie, ku ktorým je prístup obmedzený v súlade s legislatívou Ruskej federácie, ktoré nie sú verejne dostupné a v prípade ich zverejnenia môžu poškodiť práva a právom chránené záujmy osoby, ktorá ich poskytla. Zoznam údajov súvisiacich s týmto krkom zriaďuje štát. Momentálne ide o: osobné údaje, informácie tvoriace obchodné, služobné alebo služobné tajomstvo, informácie, ktoré sú tajomstvom vyšetrovania a kancelárskej práce. Navyše, v poslednom čase boli údaje o podstate vynálezu alebo vedeckého objavu pred ich oficiálnym zverejnením klasifikované ako dôverné.
Dôverné informácie v podniku zahŕňajú také údaje ako: plán rozvoja, výskumné práce, technická dokumentácia, výkresy, rozdelenie zisku, zmluvy, správy, zdroje, partneri, rokovania, zmluvy, ako aj informácie riadiaceho a plánovacieho charakteru.
Spoločnosť má asi dvadsať počítačov. Pokiaľ ide o prítomnosť lokálnej siete v podniku, počítače v spoločnosti nie sú spojené do jednej siete. Všetky počítače sú navyše vybavené štandardnou zostavou kancelárske programy A účtovné programy. Tri počítače majú prístup na internet cez WAN Miniport. Zároveň ani jeden počítač v podniku nie je vybavený antivírusovým programom. Výmena informácií sa uskutočňuje prostredníctvom médií: flash disky, diskety. Všetky informácie o „tradičných“ médiách sa nachádzajú v skrinkách, ktoré nie sú uzamknuté. Najdôležitejšie dokumenty sú uložené v trezore, kľúče od ktorého má sekretárka.
bezpečnosť ochrany informácií
1.3 Hrozby a prostriedky ochrany informácií v podniku
Ohrozenie informačnej bezpečnosti - súbor podmienok a faktorov, ktoré vytvárajú potenciálne alebo reálne nebezpečenstvo spojené s únikom informácií a/alebo neoprávneným a/alebo neúmyselným ovplyvňovaním.
Podľa spôsobov ovplyvňovania objektov informačnej bezpečnosti podliehajú ohrozenia relevantné pre spoločnosť tejto klasifikácii: informačné, softvérové, fyzické, organizačné a právne.
Informačné hrozby zahŕňajú:
Neoprávnený prístup k informačným zdrojom;
Krádež informácií z archívov a databáz;
Porušenie technológie spracovania informácií;
nezákonné zhromažďovanie a používanie informácií;
Medzi softvérové hrozby patria:
· počítačové vírusy a malware;
Fyzické hrozby zahŕňajú:
Zničenie alebo zničenie zariadení na spracovanie a komunikáciu informácií;
Krádež pamäťových médií;
Vplyv na personál
Organizačné a právne hrozby zahŕňajú:
Obstarávanie nedokonalých alebo zastaraných informačných technológií a prostriedkov informatizácie;
Nástroje informačnej bezpečnosti sú súborom inžinierskych, elektrických, elektronických, optických a iných zariadení a zariadení, zariadení a technických systémov, ako aj ďalších reálnych prvkov používaných na riešenie rôznych problémov ochrany informácií vrátane prevencie úniku a bezpečnostne chránených informácií.
Zvážte nástroje informačnej bezpečnosti používané v podniku. Celkovo sú štyri (hardvérové, softvérové, zmiešané, organizačné).
Hardvérová ochrana- zámky, mreže na oknách, bezpečnostné alarmy, sieťové filtre, video monitorovacie kamery.
Softvérové ochrany: používajú sa nástroje operačného systému ako ochrana, heslo, účty.
Organizačné prostriedky ochrany: príprava priestorov počítačmi.
2 Zlepšenie systému informačnej bezpečnosti
2.1 Zistené nedostatky v systéme informačnej bezpečnosti
Najzraniteľnejším bodom ochrany informácií v spoločnosti je ochrana počítačová bezpečnosť. Aj pri povrchnej analýze podniku možno identifikovať tieto nedostatky:
§ Informácie sú zriedka zálohované;
§ Nedostatočná úroveň softvéru pre bezpečnosť informácií;
§ Niektorí zamestnanci nemajú dostatočné znalosti práce s PC;
§ Neexistuje žiadna kontrola nad zamestnancami. Zamestnanci môžu často opustiť pracovisko bez toho, aby museli vypnúť počítač a mať flash disk so servisnými informáciami.
§ Nedostatok normatívnych dokumentov o informačnej bezpečnosti.
§ Nie všetky počítače používajú nástroje OS, ako sú heslá a účty.
2.2 Ciele a ciele formovania systému informačnej bezpečnosti v podniku
Hlavným cieľom systému informačnej bezpečnosti je zabezpečiť stabilnú prevádzku zariadenia, predchádzať ohrozeniu jeho bezpečnosti, chrániť oprávnené záujmy podniku pred neoprávneným zásahom, zabrániť krádeži finančných prostriedkov, prezradeniu, strate, úniku, skresleniu a zničeniu úradné informácie, zabezpečujúce bežnú výrobnú činnosť všetkých oddelení zariadenia. Ďalším cieľom systému informačnej bezpečnosti je zvyšovanie kvality poskytovaných služieb a garantovanie bezpečnosti vlastníckych práv a záujmov.
Úlohy formovania systému informačnej bezpečnosti v organizácii sú: integrita informácií, spoľahlivosť informácií a ich dôvernosť. Keď sú úlohy splnené, cieľ bude realizovaný.
Tvorba systémov informačnej bezpečnosti (ISS) v IS a IT je založená na nasledujúcich princípoch:
Systematický prístup k budovaniu systému ochrany, pod ktorým sa rozumie optimálna kombinácia vzájomne súvisiacich organizačných, softvérových, hardvérových, fyzických a iných vlastností, potvrdená praxou tvorby domácich a zahraničných ochranných systémov a využívaná vo všetkých fázach technologického cyklu spracovania informácií. .
Princíp neustáleho vývoja systému. Tento princíp, ktorý je jedným zo základných princípov počítačových informačných systémov, je pre NIS ešte relevantnejší. Spôsoby implementácie hrozieb pre informácie v IT sa neustále zdokonaľujú, a preto zaistenie bezpečnosti IP nemôže byť jednorazovým úkonom. Ide o nepretržitý proces, ktorý spočíva v zdôvodňovaní a implementácii najracionálnejších metód, metód a spôsobov zlepšovania ISS, priebežného monitorovania, identifikácie jej úzkych miest a slabín, potenciálnych kanálov úniku informácií a nových metód neoprávneného prístupu.
Oddelenie a minimalizácia právomocí pre prístup k spracovávaným informáciám a procesom spracovania, t. j. poskytnúť používateľom aj samotným zamestnancom IS minimum presne definovaných právomocí postačujúcich na výkon služobných povinností.
Úplnosť kontroly a evidencie pokusov o neoprávnený prístup, t. j. nutnosť presného zistenia totožnosti každého používateľa a zaznamenanie jeho akcií pre prípadné vyšetrovanie, ako aj nemožnosť vykonať akúkoľvek operáciu spracovania informácií v IT bez predchádzajúcej registrácie.
Zabezpečenie spoľahlivosti ochranného systému, t.j. nemožnosť zníženia úrovne spoľahlivosti v prípade porúch, porúch, úmyselného konania hackera alebo neúmyselných chýb používateľov a personálu údržby v systéme.
Zabezpečenie kontroly nad fungovaním ochranného systému, t.j. vytváranie prostriedkov a metód na monitorovanie výkonu ochranných mechanizmov.
Poskytovanie rôznych prostriedkov boja malvér.
Zabezpečenie ekonomickej realizovateľnosti používania ochranného systému, ktorá je vyjadrená prevyšovaním možného poškodenia IS a IT z implementácie hrozieb nad náklady na vývoj a prevádzku ISS.
2.3 Navrhované opatrenia na zlepšenie systému informačnej bezpečnosti organizácie
Zistené nedostatky v podniku vyžadujú ich odstránenie, preto sú navrhnuté nasledovné opatrenia.
§ Pravidelné zálohovanie databázy s osobnými údajmi zamestnancov spoločnosti, s účtovnými údajmi a inými databázami dostupnými v podniku. Predídete tak strate údajov v dôsledku zlyhania disku, výpadku napájania, vírusov a iných nehôd. Dôkladné plánovanie a pravidelné postupy zálohovania umožňujú rýchlu obnovu dát v prípade straty.
§ Používanie nástrojov OS na každom počítači. Vytváranie účtov pre špecialistov a pravidelné zmeny hesiel pre tieto účty.
§ Školenie zamestnancov podniku na prácu s počítačmi. Nevyhnutná podmienka pre správnu prevádzku na pracovných staniciach a predchádzanie strate a poškodeniu informácií. Práca celého podniku závisí od zručností personálu PC z hľadiska správneho vykonania.
§ Inštalácia antivírusových programov na počítače ako: Avast, NOD, Doctor Web a tak ďalej. Vyhnete sa tak infikovaniu počítačov rôznymi škodlivými programami nazývanými vírusy. Čo je veľmi dôležité pre tento podnik, keďže niekoľko počítačov má prístup na internet a zamestnanci používajú flash médiá na výmenu informácií.
§ Vykonávanie kontroly zamestnancov pomocou videokamier. Tým sa znížia prípady neopatrnej manipulácie so zariadením, riziko krádeže a poškodenia zariadenia a umožní sa aj kontrola „odstránenia“ oficiálnych informácií z územia spoločnosti.
§ Vypracovanie regulačného dokumentu „Opatrenia na ochranu informácií v Oven LLC a zodpovednosť za ich porušenie“, ktorý by bol v súlade s platnou legislatívou Ruskej federácie a určoval riziká, porušenia a zodpovednosť za tieto porušenia (pokuty, tresty). Rovnako ako urobiť príslušný stĺpec v pracovnej zmluve spoločnosti, že je oboznámený a zaväzuje sa dodržiavať ustanovenia tohto dokumentu.
2.4 Efektívnosť navrhovaných opatrení
Navrhované opatrenia so sebou nesú len pozitíva, ako je eliminácia hlavných problémov v podniku súvisiacich s informačnou bezpečnosťou. Zároveň si však budú vyžadovať ďalšie investície do školenia personálu a vypracovania regulačných dokumentov týkajúcich sa bezpečnostnej politiky. Bude si to vyžadovať dodatočné mzdové náklady a úplne neodstráni riziká. Vždy tu bude ľudský faktor, vyššia moc. Ak sa však takéto opatrenia neprijmú, náklady na obnovu informácií a stratené príležitosti budú stáť viac ako tie, ktoré sú potrebné na vývoj bezpečnostného systému.
Zvážte výsledky navrhovaných opatrení:
1. Zvýšenie spoľahlivosti systému informačnej bezpečnosti organizácie;
2. Zvyšovanie úrovne PC odbornosti personálu;
3. Znížené riziko straty informácií;
4. Dostupnosť regulačného dokumentu definujúceho bezpečnostnú politiku.
5. Prípadne znížiť riziko zadávania/odstraňovania informácií z podniku.
3 Model informačnej bezpečnosti
Prezentovaný model informačnej bezpečnosti (obrázok 2) je súborom objektívnych vonkajších a vnútorných faktorov a ich vplyvu na stav informačnej bezpečnosti v zariadení a na bezpečnosť materiálnych alebo informačných zdrojov.
Obrázok 2 - Model systému informačnej bezpečnosti
Tento model je v súlade so špeciál regulačné dokumenty o zaistení informačnej bezpečnosti prijatej v Ruskej federácii, medzinárodná norma ISO/IEC 15408 „Informačné technológie – metódy ochrany – kritériá hodnotenia informačnej bezpečnosti“, norma ISO/IEC 17799 „Manažment informačnej bezpečnosti“, a zohľadňuje vývoj trendy domáceho regulačného rámca (najmä Štátna technická komisia Ruskej federácie) v otázkach informačnej bezpečnosti.
Závery a ponuky
Informačný vek priniesol dramatické zmeny v spôsobe, akým si ľudia plnia svoje povinnosti v mnohých profesiách. Teraz môže stredný netechnický špecialista vykonávať prácu, ktorú robil vysokokvalifikovaný programátor. Zamestnanec má k dispozícii toľko presných a aktuálnych informácií, koľko nikdy nemal.
Používanie počítačov a automatizovaných technológií však vedie k mnohým problémom pre manažment organizácie. Počítače, ktoré sú často vzájomne prepojené, môžu poskytnúť prístup k obrovskému množstvu rôznych údajov. Ľudia sa preto obávajú bezpečnosti informácií a rizík spojených s automatizáciou a poskytovaním oveľa väčšieho prístupu k dôverným, osobným alebo iným kritickým údajom. Počet počítačových zločinov neustále narastá, čo môže v konečnom dôsledku viesť k podkopávaniu ekonomiky. A tak by malo byť jasné, že informácie sú zdrojom, ktorý je potrebné chrániť.
A keďže automatizácia viedla k tomu, že teraz operácie s počítačová technológia sú vykonávané radovými zamestnancami organizácie, a nie špeciálne vyškoleným technickým personálom, je potrebné, aby si koncoví používatelia uvedomovali svoju zodpovednosť za ochranu informácií.
Neexistuje jediný recept, ktorý by poskytoval 100% záruku bezpečnosti dát a spoľahlivej prevádzky siete. Avšak vytvorenie komplexného, premysleného bezpečnostného konceptu, ktorý zohľadňuje špecifiká úloh konkrétnej organizácie, pomôže minimalizovať riziko straty cenných informácií. Počítačová bezpečnosť je neustály boj proti hlúposti používateľov a inteligencii hackerov.
Na záver by som chcel povedať, že ochrana informácií sa neobmedzuje len na technické metódy. Problém je oveľa širší. Hlavným nedostatkom ochrany sú ľudia, a preto spoľahlivosť bezpečnostného systému závisí najmä od postoja zamestnancov spoločnosti k nemu. Okrem toho sa ochrana musí neustále zlepšovať spolu s rozvojom počítačovej siete. Nezabudnite, že do práce nezasahuje bezpečnostný systém, ale jeho absencia.
Zhrnutím výsledkov tohto projektu kurzu by som tiež rád poznamenal, že po analýze systému informačnej bezpečnosti podniku Aries sa zistilo päť nedostatkov. Po hľadaní boli nájdené riešenia na ich odstránenie, tieto nedostatky je možné opraviť, čím sa zlepší informačná bezpečnosť podniku ako celku.
V rámci uvedených akcií boli vypracované praktické a teoretické zručnosti štúdia systému informačnej bezpečnosti, čím bol cieľ projektu kurzu naplnený. Vďaka nájdeným riešeniam môžeme konštatovať, že všetky úlohy projektu boli splnené.
Bibliografia
1. GOST 7.1-2003. Bibliografický záznam. Bibliografický popis. Všeobecné požiadavky a pravidlá zostavovania (M.: Vydavateľstvo noriem, 2004).
2. Galatenko, V.A. „Základy informačnej bezpečnosti“. - M.: "Intuit", 2003.
3. Zavgorodniy, V. I. „Integrovaná ochrana informácií v počítačové systémy". - M.: Logos, 2001.
4. Zegzhda, D.P., Ivashko, A.M. „Základy bezpečnosti informačných systémov“.
5. Nosov, V.A. Úvodný kurz k disciplíne „Bezpečnosť informácií“.
6. Federálny zákon Ruskej federácie z 27. júla 2006 N 149-FZ „O informáciách, informačných technológiách a ochrane informácií“
Hostené na Allbest.ru
Podobné dokumenty
Charakteristika informačných zdrojov poľnohospodárskeho podniku "Ashatli". Hrozby informačnej bezpečnosti špecifické pre podnik. Opatrenia, metódy a prostriedky ochrany informácií. Analýza nedostatkov existujúceho a výhod aktualizovaného bezpečnostného systému.
semestrálna práca, pridaná 2.3.2011
Všeobecné informácie o činnosti podniku. Objekty informačnej bezpečnosti v podniku. Opatrenia a prostriedky ochrany informácií. Kopírovanie údajov na vymeniteľné médium. Inštalácia interného záložného servera. Efektívnosť zlepšovania systému IS.
test, pridané 29.08.2013
Pojem, význam a smerovanie informačnej bezpečnosti. Systematický prístup k organizácii informačnej bezpečnosti, ktorá chráni informácie pred neoprávneným prístupom. Prostriedky ochrany informácií. Metódy a systémy informačnej bezpečnosti.
abstrakt, pridaný 15.11.2011
Systém formovania režimu informačnej bezpečnosti. Úlohy informačnej bezpečnosti spoločnosti. Prostriedky ochrany informácií: základné metódy a systémy. Ochrana informácií v počítačové siete. Ustanovenia najdôležitejších legislatívnych aktov Ruska.
abstrakt, pridaný 20.01.2014
Analýza rizík informačnej bezpečnosti. Hodnotenie existujúcich a plánovaných prostriedkov ochrany. Súbor organizačných opatrení na zabezpečenie informačnej bezpečnosti a ochrany podnikových informácií. Kontrolný príklad realizácie projektu a jeho popis.
práca, pridané 19.12.2012
Stratégia podnikovej informačnej bezpečnosti vo forme systému účinných politík, ktoré by definovali efektívny a dostatočný súbor bezpečnostných požiadaviek. Identifikácia hrozieb pre informačnú bezpečnosť. Vnútorná kontrola a riadenie rizík.
semestrálna práca, pridaná 14.06.2015
Popis komplexu úloh a zdôvodnenie potreby zlepšenia systému zabezpečenia informačnej bezpečnosti a ochrany informácií v podniku. Vypracovanie projektu využitia DBMS, informačnej bezpečnosti a ochrany osobných údajov.
práca, pridané 17.11.2012
Regulačné dokumenty v oblasti informačnej bezpečnosti v Rusku. Analýza hrozieb informačných systémov. Charakteristika organizácie systému ochrany osobných údajov kliniky. Implementácia autentifikačného systému pomocou elektronických kľúčov.
práca, pridané 31.10.2016
Predpoklady na vytvorenie systému zabezpečenia osobných údajov. Ohrozenie informačnej bezpečnosti. Zdroje neoprávneného prístupu k ISPD. Zariadenie informačných systémov osobných údajov. Prostriedky ochrany informácií. bezpečnostná politika.
ročníková práca, pridaná 10.7.2016
Úlohy, štruktúra, fyzické, softvérové a hardvérové opatrenia na ochranu informačného systému. Druhy a príčiny počítačových zločinov, spôsoby zlepšenia bezpečnostnej politiky organizácie. Účel a hlavné funkcie priečinka "Denník" MS Outlook 97.
Načítava...