- •3. Государственные секреты
- •4. Служебная тайна
- •5. Коммерческая тайна: понятие, характеристика.
- •6. Интеллектуальная собственность
- •8.Патентное право
- •11. Выбор механизма охраны объекта интеллектуальной собственности.
- •16. Каналы утечки и носители информации.
- •Уровни защиты, в соответствии с механизмами реагирования на угрозы:
- •19. Защита информации: понятие, виды, объекты.
- •Иными словами, объектами защиты информации являются источники информации; переносчики информации и получатели информации.
- •20. Принципы защиты информации.
- •21. Модель безопасности: компоненты и взаимосвязи.
- •25. Ответственность за разглашение коммерческой тайны
- •28 Организация перехода к режиму кт
- •29 Организационные методы защиты конфиденциальной информации
- •31. Организационная структура службы безопасности. Группа режима
- •32. Защищенный документооборот
- •33. Технологические системы защиты и обработки конфиденциальных документов
- •37. Организация исполнения конфиденциальных документов
- •38. Копирование конфиденциальных документов
- •39. Назначение и порядок проведения проверки наличия документов, дел и носителей информации
- •41 Условия работы с конфиденциальными документами
- •43 Определение круга лиц, имеющих доступ к коммерческой тайне
- •44 Оценка опасности разглашения конфиденциальной информации работниками организации
- •45 Профилактика правонарушений в области коммерческой тайны
- •47. Информационная система: понятие, объекты, направления защиты.
- •48. Модель системы менеджмента информационной безопасности.
- •49. Политика информационной безопасности.
- •50. Система менеджмента информационной безопасности (смиб):
- •51. Система менеджмента информационной безопасности (смиб): требования к внедрению и обеспечению функционированию.
- •53.Классификация технических каналов утечки информации
- •60. Рекомендации по проведению телефонных разговоров
- •61.Взаимодействие предприятий с государственными органами
- •62 Работа со сми с учетом защиты кт
33. Технологические системы защиты и обработки конфиденциальных документов
В целом мероприятия по реализации защищенного документооборота можно свести в три группы, по мере уменьшения их важности:
1. Работа с человеческим фактором.
2. Техническое, программное и организационное обеспечение по ограничению доступа к защищаемой информации.
3. Программные средства непосредственной защиты информации.
Работа с человеческим фактором
Первым, самым важным пунктом идет работа с так называемым человеческим фактором, а именно - с сотрудниками организации.
Практика показывает, что наибольшую угрозу для информации представляют именно внутренние нарушители - сотрудники компании, имеющие доступ к информации. И чем выше уровень доступа, чем больше прав у сотрудника на работу с информацией, тем потенциально больший вред этот сотрудник может нанести информации и соответственно организации. Ведь если у сотрудника есть доступ на чтение и редактирование информации, значит, по неосторожности ее можно исказить и удалить, а при определенном умысле - украсть, подменить, уничтожить (в зависимости от преследуемых целей).
Работа с человеческим фактором включает:
повышение уровня активности администраторов сети и общего уровня компьютерной грамотности сотрудников, являющихся пользователями системы;
проведение обучения сотрудников работе с системой и сопутствующим программным обеспечением;
ознакомление сотрудников с их правами и обязанностями как администраторов и пользователей системы, имеющих доступ к данным.
грамотная мотивация сотрудников, ответственных за безопасность информации, и в первую очередь администраторов сети и парка компьютеров организации.
Нет ничего опаснее, чем обиженный и озлобленный системный администратор - он мало того что не будет выполнять свои непосредственные обязанности (или просто начнет выполнять их хуже), но и сам может стать внутренним нарушителем, "шпионом", имеющим практически неограниченный доступ ко всему объему информации, циркулирующей по организации в электронном виде.
Техническое, программное и организационное обеспечение
Прибегать к нему следует тогда, когда грамотного персонала и аккуратной работы уже недостаточно. Например, в средних и крупных компаниях (когда сложно обеспечить безопасность организационными мерами) либо просто при большой вероятности атаки снаружи. Подобного рода обеспечение подразумевает:
создание ролей доступа к информации, разграничение прав на работу с информацией;
протоколирование всех действий и попыток к действиям (включая не только создание, редактирование и удаление, но и чтение, печать, выгрузку, пересылку и т. п.);
запрет на использование внешних носителей;
по мере ужесточения мер обеспечения безопасности возможно даже создание специальной, отдельно охраняемой экранированной комнаты, в которой установлен компьютер с важными данными, отключенный от любой сети, кроме электрической.
Чем более суровы данные методы, тем более высокую степень защиты (естественно, при условии того, что мы позаботились об исключении негатива первого фактора) они дают.
Резюмируя обсуждение второй группы мероприятий, следует сказать: реализуя меры по техническому, программному и организационному обеспечению по ограничению доступа к защищаемой информации, нельзя забывать, что такого рода меры напрямую (и крайне негативно) сказываются на скорости и эффективности работы, на функционале защищаемой системы, поэтому злоупотреблять ими не стоит (согласитесь, мало кому понравится, скажем, хранить важные документы на дискетах в сейфе с двумя ключами, находящимися у разных людей, под присмотром автоматчиков в герметичной комнате, особенно если доступ к документам требуется регулярный). И еще раз подчеркну, что пользы от данных мер при игнорировании человеческого фактора не будет.
Программные средства непосредственной защиты информации
Третья группа мероприятий по защите: программные средства непосредственной защиты информации. К ним относим:
криптографические средства - электронную подпись и шифрование (как отдельных файлов, так и целых баз данных);
системы аутентификации, построенные на криптографии.
Приступая к реализации этих мероприятий, следует помнить, что это - последний (и, как правило, не очень нужный) слой защиты информации, так называемый последний рубеж. Применение его необходимо, когда предполагается наличие внутреннего нарушителя (в случае внутрикорпоративного документооборота), либо когда обмен информацией ведется с внешними организациями без возможности защиты каналов передачи этой информации. Все, от чего данные меры защитят, так это от того, что злоумышленник не сможет ознакомиться с информацией или исказить ее. Но эти меры (при «забывании» руководством о первых двух группах мероприятий) не помешают ему эту информацию, скажем, удалить, тем самым парализовав работу организации.
Резюмируя обсуждение третьей группы мероприятий, следует заметить: так же, как и прочих технических мер обеспечения защиты, использование программных средств еще больше снижает эффективность и скорость работы. Например, при обмене данными отправителю придется их зашифровывать, получателю - расшифровывать, а на это требуется время и действия.
Подводя итог, хотим еще раз отметить, что подход к защите электронного документооборота должен быть комплексным. Необходимо трезво оценивать вероятные угрозы и риски и величину возможных потерь от реализации этих угроз.
Вообще же, выбирая методы организации защищенного документооборота, следует искать разумный баланс между необходимостью и возможностью, между безопасностью данных и стоимостью решения по их защите. Обеспечивать защиту документооборота только ради самого факта наличия защиты не только лишено смысла, но и вредно, т. к. может существенно осложнить деятельность организации с документами и информацией.
Ну и, конечно, ни в коем случае нельзя забывать о главном недостатке любой защиты: абсолютной защиты не бывает, бывает лишь усложнение защиты настолько, чтобы ее взлом стоил дороже, чем защищаемая информация.