Бібліографічний опис:

Нестеров А.К. Забезпечення інформаційної безпеки [Електронний ресурс] // Освітня енциклопедія сайт

Одночасно з розвитком інформаційних технологій та підвищенням значущості інформаційних ресурсів для організацій, зростає і кількість загроз їхній інформаційній безпеці, а також можливі збитки від її порушень. Виникає об'єктивна необхідність забезпечення інформаційної безпеки підприємства. У зв'язку з цим прогрес можливий лише в умовах цілеспрямованого попередження загроз інформаційній безпеці.

Засоби забезпечення інформаційної безпеки

Забезпечення інформаційної безпеки здійснюється за допомогою двох типів засобів:

• програмно-апаратні засоби
• захищені комунікаційні канали

Програмно-апаратні засоби забезпечення інформаційної безпеки у сучасних умовах розвитку інформаційних технологій найбільш поширені у роботі вітчизняних та зарубіжних організацій. Докладно розглянемо основні програмно-апаратні засоби захисту інформації.

Програмно-апаратні засоби захисту від несанкціонованого доступу включають заходи ідентифікації, автентифікації та управління доступом в інформаційну систему.

Ідентифікація – надання суб'єктам доступу унікальних ідентифікаторів.

Сюди відносять радіочастотні мітки, біометричні технології, магнітні карти, універсальні магнітні ключі, логіни для входу до системи тощо.

Аутентифікація – перевірка належності суб'єкта доступу до пред'явленого ідентифікатора та підтвердження його справжності.

До процедур аутентифікації належать паролі, pin-коди, смарт-картки, usb-ключі, цифрові підписи, сеансові ключі тощо. Процедурна частина засобів ідентифікації та аутентифікації взаємопов'язана і, фактично, є базовою основою всіх програмно-апаратних засобів забезпечення інформаційної безпеки, оскільки всі інші служби розраховані на обслуговування конкретних суб'єктів, коректно розпізнаних інформаційною системою. У загальному вигляді ідентифікація дозволяє суб'єкту позначити себе для інформаційної системи, а за допомогою аутентифікації інформаційна система підтверджує, що суб'єкт справді той, за кого він видає. На основі проходження цієї операції проводиться операція з надання доступу до інформаційної системи. Процедури управління доступом дозволяють суб'єктам, що авторизувалися, виконувати дозволені регламентом дії, а інформаційній системі контролювати ці дії на коректність і правильність отриманого результату. Розмежування доступу дозволяє системі закривати від користувачів дані, яких вони мають допуску.

Наступним засобом програмно-апаратного захисту виступає протоколювання та аудит інформації.

Протоколювання включає збирання, накопичення та збереження інформації про події, дії, результати, що мали місце під час роботи інформаційної системи, окремих користувачів, процесів і всіх програмно-апаратних засобів, що входять до складу інформаційної системи підприємства.

Оскільки у кожного компонента інформаційної системи існує заздалегідь заданий набір можливих подій відповідно до запрограмованих класифікаторів, то події, дії та результати поділяються на:

• зовнішні, спричинені діями інших компонентів,
• внутрішні, викликані діями самого компонента,
• клієнтські, викликані діями користувачів та адміністраторів.

Аудит інформації полягає у проведенні оперативного аналізу в реальному часі або в заданий період.

За результатами аналізу або формується звіт про події, що мали місце, або ініціюється автоматична реакція на позаштатну ситуацію.

Реалізація протоколювання та аудиту вирішує такі завдання:

• забезпечення підзвітності користувачів та адміністраторів;
• забезпечення можливості реконструкції послідовності подій;
• виявлення спроб порушень інформаційної безпеки;
• надання інформації для виявлення та аналізу проблем.

Найчастіше захист інформації неможливий без застосування криптографічних засобів. Вони використовуються для забезпечення сервісів шифрування, контролю цілісності та аутентифікації, коли засоби аутентифікації зберігаються у користувача в зашифрованому вигляді. Існує два основні методи шифрування: симетричний та асиметричний.

Контроль цілісності дозволяє встановити справжність і ідентичність об'єкта, якою виступає масив даних, окремі порції даних, джерело даних, і навіть забезпечити неможливість відзначити досконале у системі дію з масивом інформації. Основу реалізації контролю цілісності становлять технології перетворення даних із використанням шифрування та цифрові сертифікати.

Іншим важливим аспектом є використання екранування, технології, яка дозволяє, розмежовуючи доступ суб'єктів до інформаційних ресурсів, контролювати всі інформаційні потоки між інформаційною системою підприємства та зовнішніми об'єктами, масивами даних, суб'єктами та контрсуб'єктами. Контроль потоків полягає в їх фільтрації і, у разі необхідності, перетворення інформації, що передається.

Завдання екранування – захист внутрішньої інформації від ворожих зовнішніх чинників і суб'єктів. Основною формою реалізації екранування виступають міжмережеві екрани або файрволли, різних типів та архітектури.

Оскільки однією з ознак інформаційної безпеки є доступність інформаційних ресурсів, то забезпечення високого рівня доступності є важливим напрямком у реалізації програмно-апаратних заходів. Зокрема, поділяється два напрями: забезпечення стійкості до відмови, тобто. нейтралізації відмов системи, здатність працювати у разі виникнення помилок, і забезпечення безпечного і швидкого відновлення після відмов, тобто. обслуговуваність системи.

Основна вимога до інформаційних систем полягає в тому, щоб вони працювали завжди із заданою ефективністю, мінімальним часом недоступності та швидкістю реагування.

Відповідно, доступність інформаційних ресурсів забезпечується за рахунок:

• застосування структурної архітектури, яка означає, що окремі модулі можуть бути за потреби відключені або швидко замінені без шкоди іншим елементам інформаційної системи;
• забезпечення відмовостійкості за рахунок: використання автономних елементів підтримуючої інфраструктури, внесення надлишкових потужностей у конфігурацію програмно-апаратних засобів, резервування апаратних засобів, тиражування інформаційних ресурсів усередині системи, резервне копіювання даних тощо.
• забезпечення обслуговування за рахунок зниження термінів діагностування та усунення відмов та їх наслідків.

Іншим типом засобів забезпечення інформаційної безпеки є захищені комунікаційні канали.

Функціонування інформаційних систем неминуче пов'язане з передачею даних, тому для підприємств необхідно також забезпечити захист інформаційних ресурсів, що передаються, використовуючи захищені комунікаційні канали. Можливість несанкціонованого доступу до даних при передачі трафіку відкритими каналами комунікації обумовлена ​​їх загальнодоступністю. Оскільки "комунікації на всьому їхньому протязі фізично захистити неможливо, тому краще спочатку виходити з припущення про їхню вразливість і відповідно забезпечувати захист". І тому використовуються технології тунелювання, суть якого у тому, щоб інкапсулювати дані, тобто. упаковати або обернути пакети даних, що передаються, включаючи всі службові атрибути, у власні конверти. Відповідно, тунель є захищеним з'єднанням через відкриті канали комунікацій, яким передаються криптографічно захищені пакети даних. Тунелювання застосовується для забезпечення конфіденційності трафіку за рахунок приховування службової інформації та забезпечення конфіденційності та цілісності даних, що передаються при використанні разом з криптографічними елементами інформаційної системи. Комбінування тунелювання та шифрування дозволяє реалізувати віртуальну приватну мережу. При цьому кінцевими точками тунелів, що реалізують віртуальні приватні мережі, є міжмережні екрани, що обслуговують підключення організацій до зовнішніх мереж.

Міжмережеві екрани як точки реалізації сервісу віртуальних приватних мереж

Таким чином, тунелювання та шифрування виступають додатковими перетвореннями, що виконуються в процесі фільтрації мережного трафіку поряд з трансляцією адрес. Кінцями тунелів, окрім корпоративних міжмережевих екранів, можуть бути персональні та мобільні комп'ютери співробітників, точніше, їх персональні міжмережеві екрани та файрволи. Завдяки такому підходу забезпечується функціонування захищених каналів комунікації.

Процедури забезпечення інформаційної безпеки

Процедури забезпечення інформаційної безпеки прийнято розмежовувати на адміністративний та організаційний рівень.

• До адміністративних процедур відносяться дії загального характеру, що вживаються керівництвом організації, для регламентації всіх робіт, дій, операцій у галузі забезпечення та підтримки інформаційної безпеки, що реалізуються за рахунок виділення необхідних ресурсів та контролю результативності заходів, що вживаються.
• Організаційний рівень є процедурами щодо забезпечення інформаційної безпеки, включаючи управління персоналом, фізичний захист, підтримку працездатності програмно-апаратної інфраструктури, оперативне усунення порушень режиму безпеки та планування відновлювальних робіт.

З іншого боку, розмежування адміністративних та організаційних процедур є безглуздим, оскільки процедури одного рівня не можуть існувати окремо від іншого рівня, порушуючи тим самим взаємозв'язок захисту фізичного рівня, персонального та організаційного захисту в концепції інформаційної безпеки. На практиці, забезпечуючи інформаційну безпеку організації, не нехтують адміністративними чи організаційними процедурами, тому логічніше розглядати їх як комплексний підхід, оскільки обидва рівні стосуються фізичного, організаційного та персонального рівнів захисту інформації.

Основою комплексних процедур забезпечення інформаційної безпеки є політика безпеки.

Політика інформаційної безпеки

Політика інформаційної безпекив організації – це сукупність документованих рішень, прийнятих керівництвом організації та спрямованих на захист інформації та асоційованих із нею ресурсів.

В організаційно-управлінському плані політика інформаційної безпеки може бути єдиним документом або оформлена у вигляді кількох самостійних документів чи наказів, але в будь-якому разі має охоплювати такі аспекти захисту інформаційної системи організації:

• захист об'єктів інформаційної системи, інформаційних ресурсів та прямих операцій з ними;
• захист усіх операцій, пов'язаних з обробкою інформації у системі, включаючи програмні засоби обробки;
• захист комунікаційних каналів, включаючи дротові, радіоканали, інфрачервоні, апаратні тощо;
• захист апаратного комплексу від побічних електромагнітних випромінювань;
• управління системою захисту, включаючи обслуговування, модернізацію та адміністраторські дії.

Кожен із аспектів має бути докладно описаний та документально закріплений у внутрішніх документах організації. Внутрішні документи охоплюють три рівні процесу захисту: верхній, середній та нижній.

Документи верхнього рівня політики інформаційної безпеки відображають основний підхід організації до захисту власної інформації та відповідність державним та/або міжнародним стандартам. На практиці в організації існує лише один документ верхнього рівня, який має назву "Концепція інформаційної безпеки", "Регламент інформаційної безпеки" і т.п. Формально ці документи не становлять конфіденційної цінності, їх поширення не обмежується, але можуть випускати в редакції для внутрішнього використання та відкритої публікації.

Документи середнього рівня є строго конфіденційними і стосуються конкретних аспектів інформаційної безпеки організації: засобів захисту інформації, безпеки баз даних, комунікацій, криптографічних засобів та інших інформаційних та економічних процесів організації. Документальне оформлення реалізується у вигляді внутрішніх технічних та організаційних стандартів.

Документи нижнього рівня поділені на два типи: регламенти робіт та інструкції з експлуатації. Регламенти робіт є суворо конфіденційними та призначені лише осіб, які за боргом служби здійснюють роботу з адміністрування окремих сервісів інформаційної безпеки. Інструкції з експлуатації можуть бути як конфіденційними, так і публічними; вони призначені для персоналу організації та описують порядок роботи з окремими елементами інформаційної системи організації.

Світовий досвід свідчить, що політика інформаційної безпеки завжди документально оформляється тільки у великих компаніях, що мають розвинену інформаційну систему, що висувають підвищені вимоги до інформаційної безпеки, середні підприємства найчастіше мають лише частково документально оформлену політику інформаційної безпеки, малі організації в переважній більшості взагалі не дбають про документальне оформлення політики безпеки. Незалежно від формату документального оформлення цілісний чи розподілений, базовим аспектом є режим безпеки.

Існує два різні підходи, які закладаються в основу політики інформаційної безпеки:

1. "Дозволено все, що не заборонено".
2. "Заборонено все, що не дозволено".

Фундаментальним дефектом першого підходу полягає в тому, що на практиці передбачити усі небезпечні випадки та заборонити їх неможливо. Поза всякими сумнівами, слід застосовувати лише другий підхід.

Організаційний рівень інформаційної безпеки

З погляду захисту інформації, організаційні процедури забезпечення інформаційної безпеки видаються як "регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне оволодіння конфіденційною інформацією та прояв внутрішніх та зовнішніх загроз".

Заходи з управління персоналом, спрямовані на організацію роботи з кадрами з метою забезпечення інформаційної безпеки, включають розподіл обов'язків та мінімізацію привілеїв. Поділ обов'язків наказує такий розподіл компетенцій і зон відповідальності, у якому одна людина неспроможна порушити критично важливий в організацію процес. Це знижує ймовірність помилок та зловживань. Мінімізація привілеїв передбачає наділення користувачів лише тим рівнем доступу, який відповідає необхідності виконання ними службових обов'язків. Це зменшує збитки від випадкових чи навмисних некоректних дій.

Фізичний захист означає розробку та вжиття заходів для прямого захисту будівель, в яких розміщуються інформаційні ресурси організації, прилеглих територій, елементів інфраструктури, обчислювальної техніки, носіїв даних та апаратних каналів комунікацій. Сюди відносять фізичне управління доступом, протипожежні заходи, захист підтримуючої інфраструктури, захист від перехоплення даних та захист мобільних систем.

Підтримка працездатності програмно-апаратної інфраструктури полягає у попередженні стохастичних помилок, що загрожують пошкодженням апаратного комплексу, порушенням роботи програм та втратою даних. Основні напрями у цьому аспекті полягають у забезпеченні підтримки користувачів та програмного забезпечення, конфігураційного управління, резервного копіювання, управління носіями інформації, документування та профілактичні роботи.

Оперативне усунення порушень режиму безпеки переслідує три основні цілі:

1. Локалізація інциденту та зменшення шкоди, що завдається;
2. Виявлення порушника;
3. Попередження повторних порушень.

Зрештою, планування відновлювальних робіт дозволяє підготуватися до аварій, зменшити збитки від них та зберегти здатність до функціонування хоча б у мінімальному обсязі.

Використання програмно-апаратних засобів та захищених комунікаційних каналів має бути реалізовано в організації на основі комплексного підходу до розробки та затвердження всіх адміністративно-організаційних регламентних процедур забезпечення інформаційної безпеки. В іншому випадку, вжиття окремих заходів не гарантує захисту інформації, а часто, навпаки, провокує витоку конфіденційної інформації, втрати критично важливих даних, пошкодження апаратної інфраструктури та порушення роботи програмних компонентів інформаційної системи організації.

Методи забезпечення інформаційної безпеки

Для сучасних підприємств характерна розподілена інформаційна система, яка дозволяє враховувати у роботі розподілені офіси та склади компанії, фінансовий облік та управлінський контроль, інформацію з клієнтської бази, з урахуванням вибірки за показниками тощо. Таким чином, масив даних дуже значний, причому в переважній більшості це інформація, що має пріоритетне значення для компанії в комерційному та економічному плані. Фактично забезпечення конфіденційності даних, що мають комерційну цінність, становить одне з основних завдань забезпечення інформаційної безпеки в компанії.

Забезпечення інформаційної безпеки на підприємствімає бути регламентовано такими документами:

1. Регламент забезпечення інформаційної безпеки. Включає формулювання цілей та завдань забезпечення інформаційної безпеки, перелік внутрішніх регламентів із засобів захисту інформації та положення про адміністрування розподіленої інформаційної системи компанії. Доступ до регламенту обмежений керівництвом організації та керівником відділу автоматизації.
2. Регламенти технічного забезпечення захисту. Документи є конфіденційними, доступ обмежений співробітниками відділу автоматизації та вищим керівництвом.
3. Регламент адміністрування розподіленої системи захисту. Доступ до регламенту обмежений співробітниками відділу автоматизації, які відповідають за адміністрування інформаційної системи, та вищим керівництвом.

При цьому цими документами не слід обмежуватись, а опрацювати також нижні рівні. В іншому випадку, якщо у підприємства інших документів, що стосуються забезпечення інформаційної безпеки, не буде, це свідчить про недостатній ступінь адміністративного забезпечення захисту інформації, оскільки відсутні документи нижнього рівня, зокрема інструкції з експлуатації окремих елементів інформаційної системи.

Обов'язкові організаційні процедури включають:

• основні заходи щодо диференціації персоналу за рівнем доступу до інформаційних ресурсів,
• фізичний захист офісів компанії від прямого проникнення та загроз знищення, втрати або перехоплення даних,
• Підтримка працездатності програмно-апаратної інфраструктури організована у вигляді автоматизованого резервного копіювання, віддаленої перевірки носіїв інформації, підтримка користувачів та програмного забезпечення здійснюється за запитом.

Сюди також слід віднести регламентовані заходи щодо реагування та усунення випадків порушень інформаційної безпеки.

Насправді часто спостерігається, що підприємства недостатньо уважно ставляться до цього питання. Усі дії в цьому напрямку здійснюються виключно в робочому порядку, що збільшує час усунення випадків порушень та не гарантує запобігання повторним порушенням інформаційної безпеки. Крім того, повністю відсутня практика планування дій щодо усунення наслідків після аварій, витоків інформації, втрати даних та критичних ситуацій. Все це суттєво погіршує інформаційну безпеку підприємства.

На рівні програмно-апаратних засобів має бути реалізована трирівнева система забезпечення інформаційної безпеки.

Мінімальні критерії забезпечення інформаційної безпеки:

1. Модуль управління доступом:

• реалізовано закритий вхід до інформаційної системи, неможливо зайти до системи поза верифікованими робочими місцями;
• для співробітників реалізовано доступ з обмеженим функціоналом із мобільних персональних комп'ютерів;
• авторизація здійснюється за формованим адміністраторами логінам та паролям.

2. Модуль шифрування та контролю цілісності:

• використовується асиметричний метод шифрування даних, що передаються;
• масиви критично важливих даних зберігаються в базах даних у зашифрованому вигляді, що не дозволяє отримати доступ до них навіть за умови злому інформаційної системи компанії;
• контроль цілісності забезпечується простим цифровим підписом всіх інформаційних ресурсів, що зберігаються, оброблюються або передаються всередині інформаційної системи.

3. Модуль екранування:

• реалізовано систему фільтрів у міжмережевих екранах, що дозволяє контролювати всі інформаційні потоки по каналах комунікації;
• зовнішні з'єднання з глобальними інформаційними ресурсами та громадськими каналами зв'язку можуть здійснюватися лише через обмежений набір верифікованих робочих станцій, що мають обмежене з'єднання з корпоративною інформаційною системою;
• захищений доступ із робочих місць співробітників для виконання ними службових обов'язків реалізовано через дворівневу систему проксі-серверів.

Нарешті, за допомогою технологій тунелювання на підприємстві має бути реалізована віртуальна приватна мережа відповідно до типової моделі побудови для забезпечення захищених комунікаційних каналів між різними відділеннями компанії, партнерами та клієнтами компанії.

Незважаючи на те, що комунікації безпосередньо здійснюються мережами з потенційно низьким рівнем довіри, технології тунелювання завдяки використанню засобів криптографії дозволяють забезпечити надійний захист всіх даних, що передаються.

Висновки

Основна мета всіх заходів в галузі забезпечення інформаційної безпеки полягає в захисті інтересів підприємства, так чи інакше пов'язаних з інформаційними ресурсами, які воно має. Хоча інтереси підприємств не обмежені конкретною областю, всі вони концентруються навколо доступності, цілісності та конфіденційності інформації.

Проблема забезпечення інформаційної безпеки пояснюється двома основними причинами.

1. Накопичені підприємством інформаційні ресурси є цінністю.
2. Критична залежність від інформаційних технологій зумовлює їхнє широке застосування.

Враховуючи широке різноманіття існуючих загроз для інформаційної безпеки, таких як руйнування важливої ​​інформації, несанкціоноване використання конфіденційних даних, перерви в роботі підприємства внаслідок порушень роботи інформаційної системи, можна зробити висновок, що це об'єктивно призводить до великих матеріальних втрат.

У забезпеченні інформаційної безпеки значної ролі грають програмно-апаратні засоби, створені задля контроль комп'ютерних сутностей, тобто. обладнання, програмних елементів, даних, утворюючи останній та найбільш пріоритетний рубіж інформаційної безпеки. Передача даних також має бути безпечною в контексті збереження їхньої конфіденційності, цілісності та доступності. Тому в сучасних умовах для забезпечення захищених комунікаційних каналів застосовуються технології тунелювання у комбінації із криптографічними засобами.

Література

1. Галатенко В.О. Стандарти інформаційної безпеки. - М.: Інтернет-університет інформаційних технологій, 2006.
2. Партика Т.Л., Попов І.І. Інформаційна безпека. - М.: Форум, 2012.

Сьогодні ми поговоримо про витік та засоби захисту конфіденційної інформації.

Термін конфіденційна інформація означає довірча, що не підлягає розголосу, секретна. Розголошення її може кваліфікуватися як кримінальний злочин. Будь-яка особа, яка має доступ до такої інформації, не має права розголошувати її іншим особам без згоди правовласника.

Зміст

Конфіденційна інформація та закон

Указ президента РФ № 188 від 06.03.1997 р. визначає відомості, що мають конфіденційний характер. До них відносяться:

1. Відомості, що стосуються комерції.
2. Відомості, пов'язані стосовно службової діяльності.
3. Лікарська, адвокатська, особиста (листування, телефонні розмови тощо) таємниця.
4. Таємниця слідства, судочинства, відомості про засуджених.
5. Персональні дані громадян, відомості про їхнє особисте життя.

Комерційна таємниця - це інформація, що дає можливість її власнику отримати конкурентну перевагу, вигоду від надання послуг або продажу товарів. Інсайдерська інформація про компанію (зміна керівництва тощо) здатна вплинути на вартість акцій.

Службова таємниця – інформація, яка є в органах держуправління, документи мають гриф «Для службового користування» та не підлягають розголошенню третім особам.

До професійної таємниці належить таємниця слідства, адвокатська, судочинства, нотаріальна тощо.

Будь-які персональні дані (П.І.Б., місце роботи, адреса, і.т.д.), відомості про приватне життя громадянина.

Витік такої інформації може наступити у таких випадках:

1. Неефективне зберігання та доступ до конфіденційної інформації, погана система захисту.
2. Постійна зміна кадрів, помилки персоналу, важкий психологічний клімат у колективі.
3. Погане навчання персоналу ефективним способам захисту.
4. Невміння керівництва організації контролювати роботу працівників із закритою інформацією.
5. Безконтрольна можливість проникнення у приміщення, де зберігається інформація, сторонніх осіб.

Шляхи витоку інформації

Вони можуть бути організаційні та технічні.

Організаційні канали:

1. Надходження на роботу в організацію з метою отримання закритої інформації.
2. Отримання інформації від партнерів, клієнтів з використанням методів обману, введення в оману.
3. Кримінальний доступ для отримання інформації (крадіжка документів, викрадення жорсткого диска з інформацією).

Технічні канали:

1. Копіювання оригінального документа закритої інформації або його електронної версії.
2. Запис конфіденційної розмови на електронні носії (диктофон, смартфон та інші пристрої для запису).
3. Усна передача змісту документа обмеженого доступу третім особам, які мають права доступу до нього.
4. Кримінальне отримання інформації за допомогою радіозакладок, потайних мікрофонів і відеокамер.

Заходи захисту інформації

Система захисту закритої інформації передбачає:

1. Попередження несанкціонованого доступу до неї.
2. Перекриття каналів витоку.
3. Регламентація роботи з конфіденційною інформацією.

Служба безпеки підприємства має організовувати практичну реалізацію системи захисту інформації, навчання персоналу, контроль за дотриманням нормативних вимог.

Організаційні методи

1. Розробка системи обробки конфіденційних даних.
2. Доведення до персоналу фірми положення про відповідальність за розголошення конфіденційних документів, їхнє копіювання або фальсифікацію.
3. Складання списку документів обмеженого доступу, розмежування персоналу щодо допуску до наявної інформації.
4. Відбір персоналу обробки конфіденційних матеріалів, інструктування співробітників.

Технічні методи

1. Використання криптографічних засобів при електронному листуванні, ведення телефонних розмов щодо захищених ліній зв'язку.
2. Перевіряє приміщення, де ведуться переговори, на відсутність радіозакладок, мікрофонів, відеокамер.
3. Доступ персоналу до захищених приміщень за допомогою ідентифікуючих засобів, коду, пароля.
4. Використання на комп'ютерах та інших електронних пристроях програмно-апаратних методів захисту.

Політика компанії в галузі інформаційної безпеки включає:

1. Призначення відповідальної особи за безпеку у створенні.
2. Контролює використання програмно-апаратних засобів захисту.
3. Відповідальність начальників відділів та служб за забезпечення захисту інформації.
4. Введення пропускного режиму для працівників та відвідувачів.
5. Складання списку допуску осіб до конфіденційних відомостей.

Організація інформаційної безпеки

Комп'ютери, що працюють у локальній мережі, сервери, маршрутизатори повинні бути надійно захищені від несанкціонованого знімання інформації. Для цього:

1. За роботу кожного комп'ютера призначається відповідальний співробітник.
2. Системний блок опечатується працівником IT служби.
3. Встановлення будь-яких програм здійснюється фахівцями IT служби.
4. Паролі повинні генеруватися працівниками IT служби та видаватися під розпис.
5. Забороняється використання сторонніх джерел інформації, всіх носіях інформації виробляється маркування.
6. Для підготовки важливих документів використовувати лише один комп'ютер. На ньому ведеться журнал обліку користувачів.
7. Програмно-апаратне забезпечення має бути сертифіковано.
8. Захист носіїв інформації (зовнішні диски) від несанкціонованого доступу.

Система роботи з конфіденційною інформацією гарантує інформаційну безпеку організації, що дозволяє зберігати від витоків важливі відомості. Це сприяє стійкому функціонуванню підприємства тривалий час.

Немає подібних записів.

Вступ

Висновок

Список літератури

Вступ

На сучасному етапі розвитку нашого суспільства багато традиційних ресурсів людського прогресу поступово втрачають своє первісне значення. На зміну їм приходить новий ресурс, єдиний продукт не спадаючий, а зростаючий згодом, званий інформацією. Інформація стає сьогодні головним ресурсом науково-технічного та соціально-економічного розвитку світової спільноти. Чим більше і швидше впроваджується якісної інформації в народне господарство та спеціальні додатки, тим вищий життєвий рівень народу, економічний, оборонний та політичний потенціал країни.

Цілісність сучасного світу як спільноти забезпечується в основному за рахунок інтенсивного інформаційного обміну. Призупинення глобальних інформаційних потоків навіть на короткий час може призвести до не меншої кризи, ніж розрив міждержавних економічних відносин. Тому в нових ринково-конкурентних умовах виникає маса проблем, пов'язаних не лише із забезпеченням збереження комерційної (підприємницької) інформації як виду інтелектуальної власності, а й фізичних та юридичних осіб, їхньої майнової власності та особистої безпеки.

Метою даної роботи є розгляд інформаційної безпеки як невід'ємної частини національної безпеки, а також виявлення ступеня її захищеності на сучасному етапі, аналіз внутрішніх та зовнішніх загроз, розгляд проблем та шляхи їх вирішення.

У зв'язку з цим поставлено певні завдання:

.Визначити місце та значення інформаційної безпеки на сучасному етапі розвитку;

2.Розглянути нормативно-правову базу у сфері захисту інформації;

.Виявити основні проблеми та загрози та шляхи їх вирішення.

Глава 1. Проблеми та загрози інформаційної безпеки

1.1 Місце інформаційної безпеки у системі національної безпеки Росії

Національна безпека Російської Федерації істотно залежить від забезпечення інформаційної безпеки, і під час технічного прогресу ця залежність зростатиме.

У сучасному світі інформаційна безпека стає життєво необхідною умовою забезпечення інтересів людини, суспільства та держави та найважливішою, стрижневою, ланкою всієї системи національної безпеки країни.

Нормативно-правовою основою регулювання захисту інформації стала Доктрина інформаційної безпеки РФ, затверджена Президентом РФ в 2001 р. Вона є сукупністю офіційних поглядів на цілі, завдання, принципи та основні напрями забезпечення інформаційної безпеки Росії. У Доктрині розглядаються:

об'єкти, загрози та джерела загроз інформаційній безпеці;

можливі наслідки загроз інформаційній безпеці;

методи та засоби запобігання та нейтралізації загроз інформаційній безпеці;

особливості забезпечення інформаційної безпеки у різних сферах життєдіяльності суспільства та держави;

основні положення державної політики щодо забезпечення інформаційної безпеки в РФ.

Доктрина розглядає всю роботу в інформаційній сфері на основі та в інтересах Концепції національної безпеки РФ.

Вона виділяє чотири основні складові національних інтересів Росії у інформаційній сфері.

Перша складова включає дотримання конституційних права і свободи людини і громадянина у сфері отримання та користування інформацією, забезпечення духовного оновлення Росії, збереження та зміцнення моральних цінностей суспільства, традицій патріотизму і гуманізму, культурного та наукового потенціалу країни.

Для її реалізації необхідно:

підвищити ефективність використання інформаційної інфраструктури у сфері соціального розвитку, консолідації російського суспільства, духовного відродження багатонаціонального народу страны;

удосконалити систему формування, збереження та раціонального використання інформаційних ресурсів, що становлять основу науково-технічного та духовного потенціалу Росії;

забезпечити конституційні права та свободи людини та громадянина вільно шукати, отримувати, передавати, виробляти та поширювати інформацію будь-яким законним способом, отримувати достовірну інформацію про стан навколишнього середовища;

забезпечити конституційні права та свободи людини та громадянина на особисту та сімейну таємницю, таємницю листування, телефонних переговорів, поштових, телеграфних та інших повідомлень, на захист своєї честі та свого доброго імені;

зміцнити механізми правового регулювання відносин у галузі охорони інтелектуальної власності, створити умови для дотримання встановлених федеральним законодавством обмежень на доступ до конфіденційної інформації;

гарантувати свободу масової інформації та заборону цензури;

не допускати пропаганди та агітації, які сприяють розпалюванню соціальної, расової, національної чи релігійної ненависті та ворожнечі;

конфіденційна інформація захист росія

забезпечити заборона збирання, зберігання, використання та поширення інформації про приватне життя особи без його згоди та іншої інформації, доступ до якої обмежений федеральним законодавством.

Друга складова національних інтересів в інформаційній сфері включає інформаційне забезпечення державної політики країни, пов'язане з доведенням до російської та міжнародної громадськості достовірної інформації про її офіційну позицію щодо соціально значущих подій російського та міжнародного життя, із забезпеченням доступу громадян до відкритих державних інформаційних ресурсів. Для цього потрібно:

зміцнювати державні засоби масової інформації, розширювати їх можливості щодо своєчасного доведення достовірної інформації до російських та іноземних громадян;

інтенсифікувати формування відкритих державних інформаційних ресурсів, підвищити ефективність їхнього господарського використання.

Третя складова національних інтересів в інформаційній сфері включає розвиток сучасних інформаційних технологій, у тому числі індустрії засобів інформатизації, телекомунікації та зв'язку, забезпечення потреб внутрішнього ринку цією продукцією та вихід її на світовий ринок, а також забезпечення накопичення, збереження та ефективного використання вітчизняних інформаційних ресурсів.

Для досягнення результату на цьому напрямі необхідно:

розвивати та вдосконалювати інфраструктуру єдиного інформаційного простору Росії;

розвивати вітчизняну індустрію інформаційних послуг та підвищувати ефективність використання державних інформаційних ресурсів;

розвивати виробництво в країні конкурентоспроможних засобів та систем інформатизації, телекомунікації та зв'язку, розширювати участь Росії у міжнародній кооперації виробників цих засобів та систем;

забезпечити державну підтримку фундаментальних та прикладних досліджень, розробок у сферах інформатизації, телекомунікації та зв'язку.

Четверта складова національних інтересів в інформаційній сфері включає захист інформаційних ресурсів від несанкціонованого доступу, забезпечення безпеки інформаційних та телекомунікаційних систем.

З цією метою потрібно:

підвищити безпеку інформаційних систем (включаючи мережі зв'язку), насамперед, первинних мереж зв'язку та інформаційних систем органів державної влади, фінансово-кредитної та банківської сфер, сфери господарської діяльності, систем та засобів інформатизації озброєння та військової техніки, систем управління військами та зброєю, екологічно небезпечними та економічно важливими виробництвами;

інтенсифікувати розвиток вітчизняного виробництва апаратних та програмних засобів захисту інформації та методів контролю їх ефективності;

забезпечити захист відомостей, що становлять державну таємницю;

розширювати міжнародне співробітництво Росії у сфері безпечного використання інформаційних ресурсів, протидії загрозі протиборству в інформаційній сфері.

1.2 Основні проблеми інформаційної безпеки та шляхи їх вирішення

Забезпечення інформаційної безпеки потребує вирішення цілого комплексу завдань.

Найважливіше завдання у справі забезпечення інформаційної безпеки Росії - здійснення комплексного обліку інтересів особистості, нашого суспільства та держави у цій сфері. Доктрина ці інтереси визначає так:

інтереси особистості в інформаційній сфері полягають у реалізації конституційних прав людини та громадянина на доступ до інформації, на використання інформації на користь здійснення не забороненої законом діяльності, фізичного, духовного та інтелектуального розвитку, а також у захисті інформації, що забезпечує особисту безпеку;

інтереси суспільства в інформаційній сфері полягають у забезпеченні інтересів суспільства у цій сфері, зміцненні демократії, створенні правової соціальної держави, досягненні та підтримці суспільної згоди, у духовному оновленні Росії;

інтереси держави у інформаційної сфері полягають у створенні умов гармонійного розвитку російської інформаційної інфраструктури, реалізації конституційних права і свободи людини (громадянина) у сфері отримання информации. Одночасно потрібне використання цієї сфери лише з метою забезпечення непорушності конституційного ладу, суверенітету та територіальної цілісності Росії, політичної, економічної та соціальної стабільності, у безумовному забезпеченні законності та правопорядку, розвитку рівноправного та взаємовигідного міжнародного співробітництва.

Загальні методи вирішення ключових завдань у справі забезпечення інформаційної безпеки Доктрина поєднує у три групи:

правові;

організаційно-технічні; економічні.

До правових методів відноситься розробка нормативних правових актів, що регламентують відносини в інформаційній сфері, та нормативних методичних документів з питань забезпечення інформаційної безпеки РФ (вони докладно розглядаються в гл.4 цього посібника).

Організаційно-технічними методами забезпечення інформаційної безпеки є:

створення та вдосконалення систем забезпечення інформаційної безпеки;

посилення правозастосовчої діяльності органів влади, включаючи запобігання та припинення правопорушень в інформаційній сфері;

створення систем та засобів запобігання несанкціонованому доступу до інформації та впливів, що спричиняють руйнування, знищення, спотворення інформації, зміну штатних режимів функціонування систем та засобів інформатизації та зв'язку;

сертифікація засобів захисту інформації, ліцензування діяльності у сфері захисту державної таємниці, стандартизація способів та засобів захисту інформації;

контроль за діями персоналу в інформаційних системах, підготовка кадрів у сфері забезпечення інформаційної безпеки;

формування системи моніторингу показників та характеристик інформаційної безпеки у найважливіших сферах життя та діяльності суспільства та держави.

Економічні методи забезпечення інформаційної безпеки включають:

розроблення програм забезпечення інформаційної безпеки та визначення порядку їх фінансування;

вдосконалення системи фінансування робіт, пов'язаних із реалізацією правових та організаційно-технічних методів захисту інформації, створення системи страхування інформаційних ризиків фізичних та юридичних осіб.

Згідно з Доктриною, держава в процесі реалізації своїх функцій щодо забезпечення інформаційної безпеки: проводить об'єктивний та всебічний аналіз та прогнозування загроз інформаційній безпеці, розробляє заходи щодо її забезпечення; організовує роботу органів влади щодо реалізації комплексу заходів, спрямованих на запобігання, відображення та нейтралізацію загроз інформаційній безпеці; підтримує діяльність громадських об'єднань, спрямовану на об'єктивне інформування населення про соціально значущі явища суспільного життя, захист суспільства від спотвореної та недостовірної інформації; здійснює контроль за розробкою, створенням, розвитком, використанням, експортом та імпортом засобів захисту інформації за допомогою їх сертифікації та ліцензування діяльності в галузі захисту інформації; проводить необхідну протекціоністську політику щодо виробників засобів інформатизації та захисту інформації на території РФ та вживає заходів щодо захисту внутрішнього ринку від проникнення на нього неякісних засобів інформатизації та інформаційних продуктів; сприяє наданню фізичним та юридичним особам доступу до світових інформаційних ресурсів, глобальних інформаційних мереж; формулює та реалізує державну інформаційну політику Росії; організує розробку федеральної програми забезпечення інформаційної безпеки, що об'єднує зусилля державних та недержавних організацій у цій галузі; сприяє інтернаціоналізації глобальних інформаційних мереж і систем, і навіть входження Росії у світове інформаційне співтовариство за умов рівноправного партнерства.

При вирішенні основних завдань та виконання першочергових заходів державної політики щодо забезпечення інформаційної безпеки нині домінує прагнення вирішувати головним чином нормативно-правові та технічні проблеми. Найчастіше йдеться про "розробку та впровадження правових норм", "підвищення правової культури та комп'ютерної грамотності громадян", "створення безпечних інформаційних технологій", "забезпечення технологічної незалежності" тощо.

p align="justify"> Відповідним чином планується і розвиток системи підготовки кадрів, що використовуються в галузі забезпечення інформаційної безпеки, тобто переважає підготовка кадрів у галузі засобів зв'язку, обробки інформації, технічних засобів її захисту. Найменшою мірою здійснюється підготовка фахівців у галузі інформаційно-аналітичної діяльності, соціальної інформації, інформаційної безпеки особистості. На жаль, багато державних інститутів вважають найбільш важливою технічну сторону проблеми, упускаючи з уваги соціально-психологічні її аспекти.

1.3 Джерела загроз інформаційної безпеки

Загрози інформаційної безпеки - використання різних видів інформації проти тієї чи іншої соціального (економічного, військового, науково-технічного тощо.) об'єкта з метою зміни його функціональних можливостей чи повного ураження.

З урахуванням загального спрямування Доктрина поділяє загрози інформаційної безпеки на такі види:

загрози конституційним правам і свободам людини і громадянина у сфері духовного життя та інформаційної діяльності, індивідуальної, групової та суспільної свідомості, духовного відродження Росії;

загрози інформаційному забезпеченню державної політики РФ;

загрози розвитку вітчизняної індустрії інформації, включаючи індустрію засобів інформатизації, телекомунікації та зв'язку, забезпечення потреб внутрішнього ринку в її продукції та виходу цієї продукції на світовий ринок, а також забезпечення накопичення, збереження та ефективного використання вітчизняних інформаційних ресурсів;

загрози безпеці інформаційних та телекомунікаційних засобів і систем, як вже розгорнутих, так і створюваних на території Росії.

Загрозами конституційним правам і свободам людини і громадянина в галузі духовного життя та інформаційної діяльності, індивідуальної, групової та суспільної свідомості, духовного відродження Росії можуть бути:

прийняття органами влади правових актів, що обмежують конституційні права та свободи громадян у галузі духовного життя та інформаційної діяльності;

створення монополій на формування, отримання та поширення інформації в РФ, у тому числі з використанням телекомунікаційних систем;

протидія, у тому числі з боку кримінальних структур, реалізації громадянами своїх конституційних прав на особисту та сімейну таємницю, таємницю листування, телефонних переговорів та інших повідомлень;

надмірне обмеження доступу до необхідної інформації;

протиправне застосування спеціальних засобів впливу на індивідуальну, групову та суспільну свідомість;

невиконання органами державної влади та місцевого самоврядування, організаціями та громадянами вимог законодавства, що регулює відносини в інформаційній сфері;

неправомірне обмеження доступу громадян до інформаційних ресурсів органів державної влади та місцевого самоврядування, до відкритих архівних матеріалів, до іншої відкритої соціально-значущої інформації;

дезорганізація та руйнування системи накопичення та збереження культурних цінностей, включаючи архіви;

порушення конституційних права і свободи людини і громадянина у сфері масової інформації;

витіснення російських інформаційних агентств, засобів з внутрішнього інформаційного ринку України і посилення залежності духовної, економічної та політичної сфер життя Росії від зарубіжних інформаційних структур;

девальвація духовних цінностей, пропаганда зразків масової культури, заснованих на культі насильства, на духовних та моральних цінностях, що суперечать цінностям, прийнятим у суспільстві;

зниження духовного, морального та творчого потенціалу населення Росії;

маніпулювання інформацією (дезінформація, приховування чи спотворення інформації).

Загрозами інформаційного забезпечення державної політики РФ можуть бути:

монополізація інформаційного ринку Росії, його окремих секторів вітчизняними та зарубіжними інформаційними структурами;

блокування діяльності державних засобів масової інформації щодо інформування російської та зарубіжної аудиторії;

низька ефективність інформаційного забезпечення державної політики РФ внаслідок дефіциту кваліфікованих кадрів, відсутності системи формування та реалізації державної інформаційної політики.

Загрози розвитку вітчизняної індустрії інформації можуть становити:

протидія доступу нових інформаційних технологій, взаємовигідному і рівноправному участі російських виробників у світовому розподілі праці промисловості інформаційних послуг, засобів інформатизації, телекомунікації та зв'язку, інформаційних товарів, створення умов посилення технологічної залежності Росії у сфері інформаційних технологій;

закупівля органами державної влади імпортних засобів інформатизації, телекомунікації та зв'язку за наявності вітчизняних аналогів;

витіснення з вітчизняного ринку російських виробників засобів інформатизації, телекомунікації та зв'язку;

використання несертифікованих вітчизняних та зарубіжних інформаційних технологій, засобів захисту інформації, засобів інформатизації, телекомунікації та зв'язку;

відтік за кордон фахівців та правовласників інтелектуальної власності.

Усі джерела загроз інформаційної безпеки Доктрина поділяє зовнішні і внутрішні.

До зовнішніх джерел загроз Доктрина відносить:

діяльність іноземних політичних, економічних, військових, розвідувальних та інформаційних структур проти інтересів РФ;

прагнення низки країн домінувати на світовому інформаційному просторі, витіснення Росії з інформаційних ринків;

діяльність міжнародних терористичних організацій;

збільшення технологічного відриву провідних держав світу та нарощування їх можливостей щодо протидії створенню конкурентоспроможних російських інформаційних технологій;

діяльність космічних, повітряних, морських та наземних технічних та інших засобів (видів) розвідки іноземних держав;

розробка низкою держав концепцій інформаційних воєн, що передбачають створення засобів небезпечного впливу на інформаційні сфери інших країн, порушення функціонування інформаційних та телекомунікаційних систем, отримання несанкціонованого доступу до них.

До внутрішніх джерел загроз, згідно з Доктриною, належать: критичний стан низки вітчизняних галузей промисловості;

несприятлива криміногенна обстановка, що супроводжується тенденціями зрощення державних та кримінальних структур в інформаційній сфері, отримання кримінальними структурами доступу до конфіденційної інформації, посилення впливу організованої злочинності на життя суспільства, зниження ступеня захищеності законних інтересів громадян, суспільства та держави в інформаційній сфері;

недостатня координація діяльності органів влади всіх рівнів щодо реалізації єдиної державної політики у сфері інформаційної безпеки;

недоліки нормативно-правової бази, що регулює відносини в інформаційній сфері та правозастосовчої практики;

нерозвиненість інститутів громадянського суспільства та недостатній державний контроль за розвитком інформаційного ринку в Росії;

недостатнє фінансування заходів щодо забезпечення інформаційної безпеки;

недостатня кількість кваліфікованих кадрів у галузі забезпечення інформаційної безпеки;

недостатня активність федеральних органів влади в інформуванні суспільства про свою діяльність, у роз'ясненні прийнятих рішень, формуванні відкритих державних ресурсів та розвитку системи доступу до них громадян;

відставання Росії від провідних країн світу за рівнем інформатизації органів влади та місцевого самоврядування, кредитно-фінансової сфери, промисловості, сільського господарства, освіти, охорони здоров'я, сфери послуг та побуту громадян.

Глава 2. Захист конфіденційної інформації

2.1 Класифікація відомостей, що підлягають захисту

В даний час у різних нормативних документах вказується значна кількість (понад 40) видів інформації, що потребують додаткового захисту. Для зручності розгляду правового режиму інформаційних ресурсів за ознакою доступу їх можна умовно поєднати у чотири групи:

Державна таємниця;

комерційна таємниця;

відомості про конфіденційний характер;

інтелектуальна власність.

Державна таємниця. Закон РФ "Про державну таємницю" дає таке визначення державної таємниці: це відомості, що захищаються державою в галузі військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці Росії (ст.2).

У ст.5 цього Закону визначено перелік відомостей, що віднесені до державної таємниці:

відомості у військовій галузі - про зміст стратегічних та оперативних планів, про плани будівництва Збройних сил, розробку, технології, виробництво, про об'єкти виробництва, про зберігання, про утилізацію ядерних боєприпасів, про тактико-технічні характеристики та можливості бойового застосування зразків озброєння та військової техніки , Про дислокацію ракетних та особливо важливих об'єктів та ін;

відомості в галузі економіки, науки і техніки - про зміст планів підготовки РФ та її окремих регіонів до можливих військових дій, про обсяги виробництва, про плани державного замовлення, про випуск та постачання озброєння, військової техніки, про досягнення науки та техніки, що мають важливе оборонне або економічне значення, та ін;

відомості в галузі зовнішньої політики та економіки - про зовнішньополітичну та зовнішньоекономічну діяльність РФ, передчасне поширення яких може завдати шкоди безпеці держави та ін;

сили та засоби названої діяльності, її джерела, плани та результати;

осіб, які співпрацюють або співпрацювали на конфіденційній основі з органами, які здійснюють цю діяльність;

системи президентського, урядового, шифрованого, у тому числі кодованого та засекреченого зв'язку;

шифри та інформаційно-аналітичні системи спеціального призначення, методи та засоби захисту секретної інформації та ін.

Комерційну таємницю може становити будь-яка інформація, корисна в бізнесі і дає перевагу над конкурентами, які такої інформації не мають. У багатьох випадках комерційна таємниця є формою інтелектуальної власності.

Відповідно до ст.139 ч.1 Цивільного кодексу РФ до відомостей, що становлять комерційну таємницю, належить інформація, що має дійсну чи потенційну комерційну цінність через невідомість її третіх осіб і до якої немає вільного доступу на законній підставі. Вона може включати різні ідеї, винаходи та іншу ділову інформацію.

Постанова Уряди РФ від 5.12.1991 р. № 35 " Про перелік відомостей, які можуть становити комерційну таємницю " . До таких відомостей відносяться:

організаційні відомості (статут та установчі документи підприємства, реєстраційні посвідчення, ліцензії, патенти);

фінансові відомості (документи про обчислення та сплату податків, інших платежів, передбачених законом, документи про стан платоспроможності);

відомості про штат та умови діяльності (число та склад працюючих, їх заробітна плата, наявність вільних місць, вплив виробництва на природне середовище, реалізація продукції, що завдає шкоди здоров'ю населення, участь посадових осіб у підприємницькій діяльності, порушення антимонопольного законодавства);

відомості про власність (розміри майна, кошти, вкладення платежів у цінні папери, облігації, позики, статутні фонди спільних підприємств).

Відомості конфіденційного характеру. Конфіденційність інформації - характеристика інформації, що вказує на необхідність запровадження обмежень на коло суб'єктів, які мають доступ до цієї інформації. Конфіденційність передбачає збереження прав на інформацію, її нерозголошення (секретність) та незмінність у всіх випадках, крім правочинного використання.

Указом Президента РФ від 6 березня 1997 р. № 188 затверджено перелік відомостей конфіденційного характеру. До цього переліку увійшли:

відомості про факти, події та обставини приватного життя громадянина, що дозволяють ідентифікувати його особу (персональні дані);

відомості, що становлять таємницю слідства та судочинства;

службові відомості, доступ до яких обмежений органами державної влади відповідно до Цивільного кодексу РФ та федеральними законами (службова таємниця);

відомості про професійну діяльність (лікарська, нотаріальна, адвокатська таємниця, таємниця листування тощо);

відомості про сутність винаходу або промислові зразки до офіційної публікації інформації про них.

Перелік відомостей конфіденційного характеру доповнюють інші нормативно-правові акти: Основи законодавства РФ "Про охорону здоров'я громадян", закони РФ "Про психіатричну допомогу та гарантії прав громадян при її наданні", "Про нотаріат", "Про адвокатуру", "Про основні гарантії виборчих прав громадян РФ", "Про банки та банківську діяльність", а також Податковий кодекс РФ, Сімейний кодекс РФ та ін.

У результаті можна назвати кілька груп відомостей конфіденційного характеру, утворюють певні " таємниці " :

лікарська (медична) таємниця;

банківська таємниця;

податкова таємниця;

нотаріальна таємниця;

таємниця страхування;

адвокатська таємниця;

таємниця ставлення до релігії та таємниця сповіді; таємниця голосування; службова таємниця та ін.

До інформації, що визначається поняттям інтелектуальна власність, можна віднести більшу частину перелічених вище відомостей наукового та технологічного характеру, а також твори літератури та мистецтва, продукцію винахідницької та раціоналізаторської діяльності, інших видів творчості. Відповідно до Закону РФ "Про правову охорону програм для електронно-обчислювальних машин і баз даних" від 23.09.1992 р. програми для ЕОМ та бази даних також є об'єктами авторського права, порушення якого тягне за собою цивільну, кримінальну та адміністративну відповідальність відповідно до законодавства РФ.

Під визначення інтелектуальної власності підпадає і певна частина відомостей, віднесених до державної та комерційної таємниці.

2.2 Організація захисту інформації

Найбільш розумними зусиллями у цьому напрямку більшість фахівців вважають проведення наступних "захисних" заходів:

адекватне визначення переліку відомостей, що підлягають захисту;

виявлення рівнів доступності та прогнозування можливих уразливих місць у доступі до інформації;

вжиття заходів щодо обмеження доступу до інформації чи об'єкта;

організація охорони приміщення та постійного контролю за збереженням інформації (зокрема, необхідність наявності шаф, сейфів, кабінетів, телевізійних камер стеження тощо), що закриваються;

наявність чітких правил поводження з документами та їх розмноження. Як відомо, винахід множної техніки буквально викликало сплеск промислового шпигунства;

наявність на документах написів "Секретно", "Для службового користування", а на дверях - "Стороннім вхід заборонено". Кожен носій інформації (документ, диск та ін.) повинен мати відповідне позначення та місце зберігання (приміщення, сейф, металевий ящик);

підписання із співробітниками організації, фірми договору про нерозголошення таємниці.

Основним засобом захисту залишаються нині режимні заходи, створені задля запобігання витоку конкретних відомостей. Вживання цих заходів залежить, передусім, від власників інформації, що складається у сфері діяльності конкурентної обстановки, цінності, яку представляє їм виробнича чи комерційна інформація, інших чинників.

Серед заходів захисту можна виділити зовнішні і внутрішні.

До зовнішніх заходів належать: вивчення партнерів, клієнтів, з якими доводиться вести комерційну діяльність, збирання інформації про їх надійність, платоспроможність та інші дані, а також прогнозування очікуваних дій конкурентів та злочинних елементів. По можливості з'ясовуються особи, які виявляють інтерес до діяльності організації (фірми), до персоналу, що працює в організації.

Внутрішні заходи щодо забезпечення безпеки включають питання підбору та перевірки осіб, які надходять на роботу: вивчаються їх анкетні дані, поведінка за місцем проживання та на колишній роботі, особисті та ділові якості, психологічна сумісність із співробітниками; з'ясовуються причини звільнення з колишнього місця роботи, наявність судимостей та ін. У процесі роботи продовжується вивчення та аналіз вчинків співробітника, що зачіпають інтереси організації, проводиться аналіз його зовнішніх зв'язків.

Співробітники – найважливіший елемент системи безпеки. Вони можуть зіграти значну роль у захисті комерційної таємниці, але в той же час можуть бути основною причиною її витоку. Часто це трапляється через неуважність, неписьменність. Тому регулярне та дохідливе навчання персоналу питанням секретності є найважливішою умовою збереження таємниці. Проте не можна виключати випадки умисної передачі (продажу) працівником секретів фірми. Мотиваційну основу таких вчинків становлять чи користь, чи помста, наприклад, із боку звільненого працівника. Практика подібних дій сягає своїм корінням в глибоку давнину.

Захист інформації передбачає використання спеціальних технічних засобів, електронних пристроїв, що дозволяє не тільки стримувати їх витік, а й зупиняти такий вид діяльності, як промисловий (комерційний) шпигунство. Більшу частину становлять технічні засоби виявлення та засоби протидії пристроям прослуховування:

телефонний нейтралізатор (для придушення роботи міні-передавача та нейтралізації зняття аудіоінформації);

телефонний пригнічувач пристроїв прослуховування;

професійний детектор (використовується для "грубого" визначення місцезнаходження радіозакладок);

міні-детектор передавачів (використовується для точного визначення місцезнаходження радіозакладок);

генератор шуму.

Організації, що мають цінну інформацію, повинні зберігати її в спеціальних вогнетривких шафах або сейфах, не допускати втрати ключів від них або передачі на зберігання іншим особам, навіть із особливо довірених.

Одним із поширених методів захисту інтелектуальної власності є патент, тобто свідоцтво, що видається винахіднику або його правонаступнику на право виняткового користування зробленим ним винаходом. Патент покликаний захистити винахідника (автора) від відтворення, продажу та використання його винаходу іншими особами.

Здійснення спеціальних внутрішніх та зовнішніх заходів захисту цінних інформаційних систем має покладатися на спеціально підготовлених осіб. З цією метою підприємець може звертатися за допомогою до приватних детективних фірм, що спеціалізуються на розшуку та охороні власності. Можуть створюватись і власні служби безпеки. Оскільки захисні заходи вимагають значних витрат, підприємець сам має вирішити, що йому вигідніше: миритися з витіканням інформації або залучати спеціалізовані служби для її захисту.

Висновок

Нинішній стан інформаційної безпеки Росії - це стан нового, що тільки оформляється з урахуванням наказу часу державно-громадського інституту. Багато чого на шляху його становлення вже зроблено, але ще більше тут проблем, які потребують оперативного вирішення. За останні роки в РФ реалізовано низку заходів щодо вдосконалення інформаційної безпеки, а саме:

Розпочато формування бази правового забезпечення інформаційної безпеки. Прийнято низку законів, що регламентують суспільні відносини у цій сфері, розгорнуто роботу зі створення механізмів їх реалізації. Етапним результатом та нормативно-правовою основою подальшого вирішення проблем у цій сфері стало затвердження Президентом РФ у вересні 2001 р. Доктрини інформаційної безпеки Російської Федерації;

Забезпеченню інформаційної безпеки сприяють створені:

державна система захисту;

система ліцензування діяльності у сфері захисту державної таємниці;

система сертифікації засобів захисту.

Водночас аналіз стану інформаційної безпеки показує, що все ще існує низка проблем, які серйозно перешкоджають повноцінному забезпеченню інформаційної безпеки людини, суспільства та держави. Доктрина називає такі основні проблеми цієї сфери.

Сучасні умови політичного та соціально-економічного розвитку країни все ще зберігають гострі протиріччя між потребами суспільства у розширенні вільного обміну інформацією та необхідністю дії окремих регламентованих обмежень на її поширення.

Суперечливість та нерозвиненість правового регулювання суспільних відносин в інформаційній сфері суттєво ускладнює підтримку необхідного балансу інтересів особистості, суспільства та держави у цій галузі. Недосконале нормативне правове регулювання Демшевського не дозволяє завершити формування біля РФ конкурентоспроможних російських інформаційних агентств та засобів.

Незабезпеченість прав громадян доступу до інформації, маніпулювання інформацією викликають негативну реакцію населення, що у деяких випадках веде до дестабілізації соціально-політичної обстановки у суспільстві.

Закріплені у Конституції РФ права громадян на недоторканність приватного життя, особисту та сімейну таємницю, таємницю листування практично не мають достатнього правового, організаційного та технічного забезпечення. Незадовільно організовано захист збираються федеральними органами структурі державної влади, органами влади суб'єктів РФ, органами місцевого самоврядування даних про фізичних осіб (персональних даних).

Немає чіткості при проведенні державної політики у сфері формування російського інформаційного простору, а також організації міжнародного інформаційного обміну та інтеграції інформаційного простору Росії у світовий інформаційний простір, що створює умови для витіснення російських інформаційних агентств, засобів масової інформації з внутрішнього інформаційного ринку, що веде до деформації структури міжнародного обміну.

Недостатня державна підтримка діяльності російських інформаційних агентств щодо просування їхньої продукції на зарубіжний інформаційний ринок.

Не покращується ситуація із забезпеченням збереження відомостей, що становлять державну таємницю.

Серйозні збитки завдано кадровому потенціалу наукових та виробничих колективів, що діють у галузі створення засобів інформатизації, телекомунікації та зв'язку, внаслідок масового відходу з цих колективів найбільш кваліфікованих фахівців.

Список літератури

1.Доктрина інформаційної безпеки РФ (утв. Президентом РФ від 09.09.2000 № Пр-1895)

.Закон РФ "Про безпеку" 2010 р.

.Закон РФ "Про державну таємницю", прийнятий 21 липня 1993 (ред. від 08.11.2011)

.Закон РФ "Про авторське право і суміжні права", що набрав чинності 3 серпня 1993 (зі змінами),

.Федеральний закон "Про основи державної служби", ухвалений 31 липня 1995 р.,

.Кримінальний кодекс РФ 2013

Ефективний захист інформації в комп'ютерних системах досягається шляхом застосування відповідних засобів, які умовно можна поділити на кілька груп:

1) розмежування доступу до інформації;

2) захисту інформації при передачі її каналами зв'язку;

3) захисту від витоку інформації з різних фізичних полів, що виникають під час роботи технічних засобів комп'ютерних систем;

4) захисту від впливу програм-вірусів;

5) безпеки зберігання та транспортування інформації на носіях та її захисту від копіювання.

Основне призначення таких засобів – розмежування доступу до локальних та мережевих інформаційних ресурсів комп'ютерних систем, які забезпечують: ідентифікацію та аутентифікацію користувачів, розмежування доступу зареєстрованих користувачів до інформаційних ресурсів, реєстрацію дій користувачів, захист завантаження операційної системи з гнучких носіїв, контроль цілісності інформаційних ресурсів Незважаючи на функціональну спільність засобів захисту інформації цієї групи, вони відрізняються один від одного умовами функціонування, складністю налаштування та управління параметрами, що використовуються ідентифікаторами, переліком подій, що реєструються, і вартістю. Засоби захисту інформації поділяються на формальні , які виконують цю функцію за заздалегідь передбаченою процедурою без участі людини, та неформальні (що обмежують діяльність персоналу або жорстоко її регламентують).

До основних засобів захисту відносяться технічні і програмні ; технічні засоби прийнято ділити на фізичніі апаратні.

Фізичні засобиреалізуються за рахунок автономних пристроїв та охоронних систем (охоронна сигналізація, екрануючі оболонки для апаратури, внутрішній екрануючий захист окремих приміщень, засоби зовнішнього та внутрішнього спостереження, замки на дверях тощо).

Апаратні засоби– це прилади, що безпосередньо вбудовуються у пристрої, які сполучаються з апаратурою, що використовується для обробки даних за стандартним інтерфейсом (схеми контролю інформації з парності, схеми захисту полів пам'яті по ключу та спеціальні регістри).

До програмним засобам відносяться спеціальні програми та/або модулі, що виконують функції захисту інформації.

Застосування лише одного із названих способів захисту інформації не вирішує проблеми – необхідний комплексний підхід. Зазвичай використовують два основних методи: перешкода та управління доступом.

Перешкода- Створення фізичних перешкод (для доступу на територію організації, безпосередньо до фізичних носіїв інформації).

Управління доступом- Регламентація та регулювання санкціонованого звернення до технічних, програмних, інформаційних ресурсів системи.

У свою чергу, санкціоноване управління доступом забезпечується за рахунок певних функцій захисту:

Ідентифікація користувачів – початкове присвоєння кожному користувачеві персонального імені, коду, пароля, аналоги яких зберігаються в системі захисту;

Аутентифікації (перевірка повноважень) – процес порівняння ідентифікаторів, що пред'являються, із збереженими в системі;

створення умов для роботи в межах встановленого регламенту, тобто розробка та реалізація комплексних заходів, за яких несанкціонований доступ зводиться до мінімуму;

Реєстрація звернень до ресурсів, що захищаються;

Адекватне реагування скоєння несанкціонованих действий.

Антивірусні програми- найпоширеніший засіб захисту – від окремих комп'ютерів домашніх користувачів до величезних корпоративних мереж (Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).

Електронний цифровий підпис (ЕЦП)- Послідовність символів, отримана в результаті криптографічного перетворення електронних даних. ЕЦП додається до блоку даних і дозволяє одержувачу блоку перевірити джерело та цілісність даних та захиститися від підробки. ЕЦП використовується як аналог власноручного підпису.

Засоби прозорого шифруваннязабезпечують захист даних від ненавмисного розголошення та не дозволяють шпигунам проникати в дані інших користувачів. У цьому ключі шифрування зберігаються в облікових записах, тому легальних власників інформації її дешифрація відбувається непомітно. Таких рішень над ринком кілька; зокрема, їх пропонує компанія Microsoft. Рішення Microsoft використовується в операційній системі як криптографічна файлова система EFS. Однак якщо працівник, який має права доступу до зашифрованих даних, випадково відправить їх електронною поштою або перенесе на незашифрований носій, захист буде порушено. Щоб унеможливити ризик таких випадкових витоків, компанія може контролювати передачу даних за протоколами електронної пошти та Web (для захисту пересилання по Web-пошті). Але від прихованого пересилання даних, яке можуть вигадати шпигуни, подібні системи, швидше за все, не зможуть забезпечити безпеку. Зокрема, жодна захист неспроможна розкрити правильно зашифрований файл, отже, неспроможна перевірити його зміст. Втім, для вітчизняних компаній найцікавішими є послуги з розробки комплексної системи захисту, яка передбачає, зокрема, створення механізмів для запобігання внутрішнім загрозам.

Контроль за вмістом.Останній сплеск інтересу до систем контролю вмісту був викликаний проблемами поширення спаму. Однак основне призначення засобів контролю вмісту - це все-таки запобігання витоку конфіденційної інформації та припинення нецільового використання Інтернету. Одне з пріоритетних завдань виробників подібних засобів - зробити так, щоб робота системи контролю вмісту не відчувалася користувачем.

Міжмережні екранибули і є базовим засобом, що забезпечує захист підключень до зовнішніх мереж, розмежування доступу між сегментами корпоративної мережі, захист потоків даних, що передаються відкритими мережами. Перше (і найголовніше), що необхідно зробити для забезпечення мережної безпеки, це встановити та правильно налаштувати міжмережевий екран (інша назва – брандмауер або firewall). Брандмауер - в інформатиці - програмний та/або апаратний бар'єр між двома мережами, що дозволяє встановлювати лише авторизовані міжмережеві з'єднання. Брандмауер захищає корпоративну мережу, що з'єднується з Інтернет, від проникнення ззовні і виключає можливість доступу до конфіденційної інформації. Правильне конфігурування та супровід брандмауера – обов'язок досвідченого системного адміністратора.

Для захисту невеликих мереж, де немає необхідності виконувати багато налаштувань, пов'язаних з гнучким розподілом смуги пропускання та обмеження трафіку за протоколами для користувачів, краще використовувати Інтернет-шлюзи або Інтернет-маршрутизатори.

Міжмережеві екрани також здійснюють антивірусне сканування вмісту WEB або E-mail, що завантажується. Антивірусні бази даних оновлюються через Інтернет, щоб забезпечити захист мережі у міру появи нових вірусів. Вся статистика про потік даних, сигналізація про атаки з Інтернету та інформацію про активність користувачів по web-навігації зберігаються в реальному часі і можуть бути надані у вигляді звіту.