Под информационной безопасностью информационной системы понимается техника защиты информации от преднамеренного или несанкционированного доступа и нанесения тем самым вреда нормальному процессу обмена данными в системе, а также хищения, изменения и уничтожения информации.
Другими словами вопросы защиты информации в информационных системах решаются для того, чтобы изолировать нормально
Под фразой «угрозы безопасности информационных систем» подразумеваются реальные или возможные действия или события, которые способны исказить хранящиеся в информационной системе данные, уничтожить их или использовать в каких-либо целях, не предусмотренных регламентом заранее.
Если рассмотреть модель, описывающую любую управляемую информационную систему, можно предположить, что возмущающее воздействие на нее может быть случайным. Именно поэтому, рассматривая угрозы безопасности информационных систем, следует сразу выделить случайные и преднамеренные возмущающие воздействия.
Комплекс защиты информации может быть выведен из строя, например из-за дефектов аппаратных средств. Также вопросы защиты информации возникают благодаря неверным действиям персонала, имеющего непосредственный доступ к базам данных, что влечет за собой снижение эффективности защиты информации при любых других благоприятных условиях проведения мероприятия по защите информации. Кроме этого в программном обеспечении могут возникать непреднамеренные ошибки и другие сбои информационной системы. Все это отрицательно влияет на эффективность защиты информации любого вида информационной безопасности, который существует и используется в информационных системах.
Защитить информацию — это значит:
- обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;
- не допустить подмены (модификации) элементов информации при сохранении ее целостности;
- не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
- быть уверенным в том, что передаваемые (продаваемые) владельцем информационные ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.
Защита информации в информационных системах обеспечивается созданием комплексной системы защиты. Комплексная система защиты информации в информационных системах включает:
Информационные технологии в следственной деятельности. Автоматизированные ...
... Автоматизированные информационные системы информационный технология автоматизированный следственный Возрастание объемов информации в информационной системе организаций, потребность в ускорении и более сложных способах ее обработки вызывают необходимость автоматизации работы информационной системы, т. е. автоматизации обработки информации. Автоматизированная информационная система (АИС) ...
- правовые методы защиты;
- организационные методы защиты;
- методы защиты от случайных угроз;
- методы защиты от традиционного шпионажа и диверсий;
- методы защиты от электромагнитных излучений и наводок;
- методы защиты от несанкционированного доступа;
- криптографические методы защиты;
- методы защиты от компьютерных вирусов.
Рассмотрим правовые и организационные методы защиты информации в информационных системах, на примере тех, которые создаются на предприятиях.
1. Организационные методы защиты информации в информационных системах.
Организационная защита информации — это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита информации является организационным началом, так называемым «ядром» в общей системе защиты конфиденциальной информации предприятия. От полноты и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функционирования системы защиты информации в целом.
Организационная защита обеспечивает:
- организацию охраны, режима, работу с кадрами, а также c документами;
- использование технических средств безопасности и информационно-аналитическую деятельность по обнаружению внутренних и внешних угроз предпринимательской деятельности.
Организационная защита информации:
- Организация работы с персоналом;
- Организация внутриобъектового и пропускного режимов и охраны;
- Организация работы с носителями сведений;
- Комплексное планирование мероприятий по защите информации;
- Организация аналитической работы и контроля.
Организационная защита включает в себя регламентацию:
1) Формирования и организации деятельности службы безопасности и обеспечения деятельности данных служб нормативно-методическими документами для улучшения организации защиты информации.
2) Составления и регулярного обновления состава защищаемой информации организации, составления и ведения перечня защищаемых бумажных и электронных документов.
3) Разрешительной системы разграничения доступа персонала к информации, которую необходимо защитить.
4) Методов отбора персонала, необходимого для работы с защищаемой информацией, а также методики обучения и инструктирования сотрудников.
5) Направлений и способов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации.
6) Технологии защиты, обработки и хранения бумажных и электронных документов.
7) Порядка защиты ценной информации фирмы от случайных или преднамеренных несанкционированных действий персонала.
Стили и методы управления персоналом
... принципов и методов. Методы управления - это способы реализации управленческих действий над персоналом для достижения целей управления производством. Существуют 3 метода управления, которые отличаются различными способами воздействия на людей: 1. Административные – базируются на ...
8) Ведения всех видов аналитической работы.
9) Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями СМИ.
10) Оборудования и аттестации помещений и рабочих мест, выделенных для работы с конфиденциальной информацией.
11) Пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала компании.
12) Системы охраны территории.
13) Действий персонала в экстремальных и чрезвычайных ситуациях.
14) Организационных вопросов приобретения, установки и использовании технических средств защиты информации и ее охраны.
15) Управление системой защиты информации.
16) Степень эффективности системы защиты информации, определение критериев и порядка проведения оценочных мероприятий по установлению ею.
Система организационных мер по защите информации представляет собой комплекс мероприятий, включающих четыре основных составляющих:
- изучение ситуации на объекте;
- разработку программы защиты;
- деятельность по реализации указанной программы;
- контроль за ее действенностью и выполнением установленных требований.
Основные принципы организационной защиты информации:
- принцип комплексного подхода — эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;
- принцип оперативности принятия управленческих решений;
- принцип персональной ответственности — наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.
Организационные мероприятия, такие как ознакомление с персоналом, обучение персонала правилам работы с конфиденциальной информацией; организация безопасной и надежной охраны помещений; организация хранения и использования документов и носителей конфиденциальной информации; создание особого порядка взаимоотношений со сторонними организациями и партнерами, играют огромную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальной информации в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств.
2. Правовые методы защиты информации в информационных системах.
Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных государством в отношении отдельных сфер жизни и деятельности.
Правовая защита на государственном уровне регулируется государственными и ведомственными актами. Такими нормами являются Конституция, законы, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.
Правовой элемент системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений
Правовые основы защиты конфиденциальной информации
... имеющих наиболее совершенное законодательство в области защиты информации, Закон о коммерческой тайне ... защиты конфиденциальной информации. 1. Основные понятия Коммерческая информация-сведения, связанные с производством, используемой технологией изготовления продукции, управлением, финансами и другом деятельностью предприятия ... странах защита коммерческой тайны обеспечивается системой промышленной ...
- наличие в организационных документах предприятия, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях
положений и обязательств по защите конфиденциальной информации;
- формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, фальсификацию или несанкционированное уничтожение документов;
- разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением
обязанностей по защите информации.
В числе основных подсистем защиты информации в правовом плане можно считать:
- установление на объекте режима конфиденциальности;
- разграничение доступа к информации;
- правовое обеспечение процесса защиты информации;
- четкое выделение конфиденциальной информации как основного объекта защиты.
Опираясь на государственные правовые акты на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности.
К ним относятся:
- Политика Информационной безопасности;
- Положение о коммерческой тайне;
- Положение о защите персональных данных;
- Перечень сведений, составляющих конфиденциальную информацию;
- Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
- Положение о специальном делопроизводстве и документообороте;
- Обязательство сотрудника о сохранении конфиденциальной информации;
- Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.
Заключение.
Информационная безопасность является одним из основных и главных элементов нормального функционирования любой информационной системы. Поэтому необходимо обеспечивать защиту информации в информационных системах для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.