Информационная безопасность
..pdfМинистерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Пермский национальный исследовательский политехнический университет»
С.Г. Ахметова
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Утверждено Редакционно-издательским советом университета
в качестве учебно-методического пособия
Издательство Пермского национального исследовательского
политехнического университета
2013
elib.pstu.ru
УДК 004.451 ББК 32.973.2-018.2 и 73
А95
Рецензенты:
кандидат экономических наук, доцент Д.А. Марков (Пермский национальный исследовательский политехнический университет);
начальник отдела ИТС А.В. Гришин (ООО «Центр профессионального развития “Европейский”», г. Пермь)
Ахметова, С.Г.
A95 Информационная безопасность : учеб.-метод. пособие / С.Г. Ахметова. – Пермь : Изд-во Перм. нац. исслед. поли-
техн. ун-та, 2013. – 123 с. ISBN 978-5-398-01070-1
Рассмотрены проблемы информационной безопасности, которые становятся все более сложными и практически значимыми в связи с переходом в управлении на безбумажную автоматизированную основу. Значительное место в решении этих проблем занимает построение эффективной системы организации работысперсоналом.
Рассмотрены способы обеспечения защиты персональных данных и конфиденциального документооборота, в том числе на цифровых носителях.
Предназначено для студентов, обучающихся по направлениям080200 «Менеджмент» и080400 «Управлениеперсоналом».
УДК 004.451 ББК 32.973.2-018.2 и 73
ISBN 978-5-398-01070-1 |
© ПНИПУ, 2013 |
2
elib.pstu.ru
|
ОГЛАВЛЕНИЕ |
|
Введение............................................................................................ |
5 |
|
1. |
Информационные ресурсы и конфиденциальность |
|
|
информации.................................................................................. |
7 |
2. |
Конфиденциальная информация............................................... |
11 |
|
2.1. Коммерческая тайна .......................................................... |
11 |
|
2.2. Составляющие коммерческой тайны............................... |
13 |
|
2.3. Защита коммерческой тайны............................................ |
14 |
|
2.4. Разработка перечня конфиденциальной |
|
|
информации......................................................................... |
16 |
|
Вопросы для самопроверки...................................................... |
19 |
3. |
Угрозы конфиденциальной информации................................ |
21 |
|
3.1. Каналы несанкционированного доступа.......................... |
22 |
|
3.2. Методы получения конфиденциальной |
|
|
информации......................................................................... |
24 |
|
Вопросы для самопроверки...................................................... |
26 |
4. |
Защита конфиденциальной информации................................ |
27 |
|
4.1. Составляющие системы защиты....................................... |
27 |
|
4.2. Аналитическая работа в сфере безопасности.................. |
32 |
|
Вопросы для самопроверки...................................................... |
34 |
5. |
Угрозы и защита безопасности со стороны персонала.......... |
35 |
|
Вопросы для самопроверки...................................................... |
41 |
6. |
Конфиденциальный документооборот..................................... |
43 |
|
6.1. Принципы организации документооборота.................... |
45 |
|
6.2. Особенности документооборота |
|
|
на цифровых носителях...................................................... |
46 |
|
Вопросы для самопроверки...................................................... |
50 |
7. |
Хранение конфиденциальных документов............................. |
51 |
|
7.1. Правила хранения конфиденциальных документов....... |
51 |
|
7.2. Организация архива........................................................... |
52 |
|
7.3. Электронный архив............................................................ |
54 |
|
Вопросы для самопроверки...................................................... |
54 |
|
|
3 |
elib.pstu.ru
8. Обеспечение информационной безопасности......................... |
56 |
8.1. Анализ рисков.................................................................... |
56 |
8.2. Управление рисками.......................................................... |
64 |
8.3. Стандарты информационной безопасности .................... |
67 |
8.4. Аудит системы управления ИБ......................................... |
71 |
8.5. Политика информационной безопасности ...................... |
75 |
Вопросы для самопроверки...................................................... |
78 |
Заключение ..................................................................................... |
80 |
Контрольная работа. Задание........................................................ |
81 |
Список литературы......................................................................... |
83 |
ПРИЛОЖЕНИЕ А. Cведения, составляющие коммерческую |
|
тайну предприятия ..................................................................... |
84 |
ПРИЛОЖЕНИЕ Б. Положение «Разрешительная система |
|
доступа к конфиденциальным документам» ........................... |
93 |
ПРИЛОЖЕНИЕ В. Пример политики безопасности.................. |
96 |
ПРИЛОЖЕНИЕ Г. Разбор кейса «Троянский конь»................. |
102 |
ПРИЛОЖЕНИЕ Д. Формы документов |
|
для обеспечения ИБ.................................................................. |
105 |
ПРИЛОЖЕНИЕ Е. Дополнительный материал......................... |
113 |
4
elib.pstu.ru
ВВЕДЕНИЕ
В современной рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одной из главных составных частей экономической безопасности является информационная безопасность.
Информационная безопасность – это защищенность ин-
формации и поддерживающей инфраструктуры от любых объективных и субъективных угроз, способных нанести ущерб ее владельцам и пользователям в обычных условиях функционирования фирмы и в условиях экстремальных ситуаций.
Проблемы информационной безопасности становятся все более сложными и практически значимыми в связи с переходом в управлении на безбумажную автоматизированную основу.
Информационная безопасность обычно предполагает обеспечение целостности (актуальности, защиты от несанкционированного изменения информации), доступности (защиты от несанкционированного удержания, блокирования информации и ресурсов) и конфиденциальности (защиты от несанкционированного пользования).
Врешении проблемы информационной безопасности значительное место занимает также построение эффективной системы организации работы с персоналом, обладающим конфиденциальной информацией. В предпринимательских структурах персонал обычно включает в себя всех сотрудников фирмы, в том числе и ее руководителей.
Впоследние годы вопросам обеспечения безопасности информации уделяется все большее внимание. Это связано с тем, что информация в жизни общества, в эффективном функционировании фирмы (организации) играет важную роль, а в некоторых случаях и определяющую.
5
elib.pstu.ru
Так, по оценкам специалистов в области информационной безопасности следует, что если фирма (организация) допускает утечку 20 и более процентов важной информации, то такая фирма (организация) в 60 случаях из 100 банкротится. Исходя из этого, экономически развитые страны в настоящее время тратят большие деньги на обеспечение безопасности, в том числе и информационной. Например, на содержание службы безопасности эти страны сегодня тратят в среднем до 25 % годовой прибыли в год. У нас фирмы (организации) расходуют на эти цели около 2 %.
По мере развития информационных технологий и роста компьютерных сетей все больше и больше угроз информационной безопасности связаны с функционированием на предприятиях информационных систем. Потеря эффективности компьютерной обработки данных, возникшая по любой причине, может привести к серьезным убыткам в деловой сфере.
В данном пособии рассмотрены актуальные проблемы, связанные с обеспечением информационной безопасности, способы защиты персональных данных и конфиденциального документооборота. Электронная версия курса опубликована на учебнообразовательном портале гуманитарного факультета ПНИПУ1 и доступна только зарегистрированным студентам факультета. Основная цель электронной версии – поддержка самостоятельной работы студентов.
1 URL: http://portal-hsb.pstu.ru.
6
elib.pstu.ru
1.ИНФОРМАЦИОННЫЕ РЕСУРСЫ
ИКОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ
Информационные ресурсы предприятия являются объектами отношений физических и юридических лиц между собой и с государством. В совокупности они составляют информационные ресурсы России и защищаются законом наряду с другими видами ресурсов.
Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. Следует учитывать, что документ может быть не только управленческим (деловым), имеющим в большинстве текстовую, табличную или анкетную форму. Большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские, картографические, научно-технические, документы на фотографических, цифровых и иных носителях.
По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находиться в собственности граждан, органов государственной власти, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур.
В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы (информация) могут быть:
– открытыми, т.е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, семинарах, интервью;
7
elib.pstu.ru
– ограниченного доступа и использования, т.е. содержащие сведения, составляющие тот или иной вид тайны и подлежащие защите, охране и контролю.
На рис. 1 представлена классификация видов информации.
Рис. 1. Классификация видов информации
Современные нормативные акты РФ определяют более
30 видов информации с ограниченным доступом (а следова-
тельно, и возможных грифованных документов). С некоторой долей условности их можно подразделить на 5 видов тайн:
1)государственная;
2)коммерческая;
3)профессиональная (адвокатская, врачебная и т.п.);
8
elib.pstu.ru
4)служебная (то, что становится известным чиновнику во время исполнения служебных обязанностей, т.е. к его прямым профессиональным обязанностям не относится);
5)личная (личные данные).
В соответствии с действующим Федеральным законом «Об информации, информатизации и защите информации»2 информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных предпринимательских структур включают в себя:
–отдельные документы и отдельные массивы документов (дела);
–документы и комплекты документов в информационных системах (библиотеках, фондах, архивах, компьютерных базах данных и др.).
При этом информационные ресурсы могут находиться на любых носителях.
Накопители информационных ресурсов называются источниками (обладателями) информации. Они представляют собой пассивные концентраторы этой информации и включают в себя публикации о фирме и ее разработках, рекламные издания, персонал фирмы.
Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разде-
лить ее можно только путем тщательного содержательного анализа. Например, систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа.
Документация как источник информации ограниченного доступа может включать:
–документацию, содержащую ценные сведения, ноу-хау;
–комплекты обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организаци- онно-правовые и распорядительные документы;
2 URL: http://base.consultant.ru/cons.
9
elib.pstu.ru
–рабочие записи сотрудников, их рабочие дневники, переписку по производственным вопросам;
–личные архивы сотрудников фирмы.
В каждой из указанных групп информация может быть на бумажных носителях и в виде электронных носителей.
При выполнении управленческих и производственных действий любая информация источника всегда распространяется во внешней среде, тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа.
Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например учредительные документы, программы и планы, договоры с партнерами и посредниками и т.д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.
Обычно выделяется два вида информации, интеллектуально ценной для фирмы:
–техническая (методы изготовления продукции, технологии, рецептуры и т.п.);
–деловая, или коммерческая (стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.).
Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы.
Процесс выявления и регламентации реального состава ценной информации, составляющей тайну фирмы, является основополагающей частью системы защиты информации. Состав этих сведений фиксируется в специальном перечне, закрепляющем факт отнесения их к защищаемой информации.
10
elib.pstu.ru