- •Реферат
- •Розділ 1 забезпечення інформаційної безпеки й захисту інформації офісної діяльності
- •Інформаційна безпека офісної діяльності
- •1.2. Технологія захисту даних
- •1.3. Захищений документообіг
- •1.4. Аналіз погроз конфіденційної інформації і каналів витоку
- •1.5. Канали витоку інформації
- •1.6. Створення системи захисту кд
- •1.7. Захист конфіденційної документації
- •1.8. Побудова парольних систем
- •1.9. Використання засобів криптографічного захисту
- •1.10. Електронний підпис
- •Розділ 2 аналіз розвитку стратегії інформаційної безпеки у середовищі осwindows
- •2.1. Стратегії інформаційної безпеки у середовищі ос Windows
- •2.2. Захист інформації в Microsoft Word 2010
- •Розділ 3 підсистема захисту офісних документів
- •3.1.Розробка підсистеми захисту інформації для цифровихофісних документів
- •3.2.Користувальницький інтерфейс підсистеми захисту
- •3.4. Охорона праці та безпека в надзвичайних ситуаціях
- •Висновки
- •Список використаних джерел
1.4. Аналіз погроз конфіденційної інформації і каналів витоку
Кожен співробітник підрозділу конфіденційного діловодства повинен бути забезпечений нормативно-методичними документами, регулюючими процес його діяльності та технологію виконання робіт. До них належать документи, що перераховуються до різних темах курсу лекцій, а також методична література: книги, брошури, журнали, які дозволяють знайти відповіді на питання, не відображені в нормативних документах. На робочих місцях слід мати й необхідні довідники, включаючи телефонні.
Важливою складовою частиною організації конфіденційного діловодства є створення постійно діючої експертної комісії (ПДЕК). Завданнями такої комісії повинні бути:
розробка переліку відомостей, що становлять комерційну таємницю;
розробка переліку видаються підприємством конфіденційних документів;
зниження або зняття ступеня конфіденційності відомостей і грифу конфіденційності документів;
розробка Положення про дозвільну систему доступу до конфіденційної інформації;
експертиза цінності конфіденційних документів з метою встановлення термінів їх зберігання та відбору документів на основі цих термінів для архівного зберігання та знищення;
проведення аналітичної роботи щодо запобігання витоку і втрати конфіденційної інформації.
Враховуючи важливість завдань ПДЕК, до її складу слід включати висококваліфікованих співробітників, в першу чергу, керівників підрозділів, що мають доступ до конфіденційної інформації. Крім того, до складу комісії повинні входити керівник служби безпеки підприємства та керівник підрозділу конфіденційного діловодства, а також керівник архіву підприємства (при наявності архіву). Головою комісії необхідно призначати одного із заступників керівника підприємства, допущеного до всіх конфіденційних документів [15].
ПДЕК створюється наказом керівника підприємства і повинна працювати на постійній основі з заміною в необхідних випадках окремих її членів. Завдання, функції та порядок роботи комісії визначаються положенням про неї. На ПДЕК може бути покладено і проведення експертизи цінності відкритих документів з тим, щоб вона могла оцінювати значення документів, що утворюються в діяльності підприємства, в їх сукупності і таким чином більш правильно визначати терміни їх зберігання.
Співробітники, допущені до роботи з конфіденційними документами, повинні мати допуск до комерційної таємниці в цілому.
Допуск співробітників підприємства до комерційної таємниці здійснюється за їх згодою і передбачає:
прийняття співробітниками зобов'язань щодо дотримання встановленого на підприємстві режиму комерційної таємниці, які закріплюються в трудовому договорі (контракті) або спеціальній угоді про дотримання режиму комерційної таємниці;
ознайомлення працівників з положеннями законодавства про комерційну таємницю, що передбачають відповідальність за порушення режиму комерційної таємниці;
ознайомлення працівників з переліком відомостей, що становлять комерційну таємницю підприємства і до яких працівники мають право доступу.
Порядок виготовлення конфіденційних документів, режим поводження з ними вимагають певних знань, які повинні бути придбані до початку роботи з документами і постійно поповнюватися. З цією метою необхідно організовувати різні форми навчання працівників: технічне навчання, семінари, самостійну підготовку зі здачею заліків та ін. Для проведення занять слід залучати не тільки співробітників підрозділу конфіденційного діловодства, але й керівників відповідних підрозділів підприємства, а також спеціалістів за конфіденційним діловодства, що працюють у відповідних науково-дослідних і навчальних закладах. Всі інформаційні ресурси фірми постійно піддаються об'єктивним та суб'єктивним загрозам втрати носія або цінності інформації.
Під загрозою, або небезпекою, втрати інформації розуміється одиничне або комплексне, реальне чи потенційне, активний або пасивний прояв несприятливих можливостей зовнішніх або внутрішніх джерел загрози створювати критичних ситуації, події, надавати дестабілізуючий на захищається інформацію, документи і бази даних [14].
Ризик пошкодження дестабілізуючого впливу будь-яким (відкритому і обмеженого доступу) інформаційних ресурсів створюють стихійні лиха, екстремальні ситуації, аварії технічних засобів і ліній зв'язку, інші об'єктивні обставини, а також зацікавлені і незацікавлені у виникненні загрози особи. До загроз, що створюються цими особами, відносяться: несанкціоноване знищення документів, прискорення згасання (старіння) тексту або зображення, підміна або вилучення документів, фальсифікація тексту або його частини та ін.
Для інформаційних ресурсів обмеженого доступу діапазону зон загроз, які передбачають втрату інформації (розголошення, витік) або втрату носія, значно ширше в результаті того, що до цих документів виявляється підвищений інтерес з боку різного роду зловмисників.
Під зловмисником розуміється особа, що діє в інтересах конкурента, противника або в особистих корисливих інтересах (агентів іноземних спецслужб, промислового та економічного шпигунства, кримінальних структур, окремих злочинних елементів, осіб, які співпрацюють зі зловмисником, психічно хворих осіб та т . п.).
На відміну від об'єктивного поширення втрата інформації тягне за собою незаконний перехід конфіденційних даних, документів до суб'єкта, який не має права володіння ними і використання у своїх цілях.
Основною загрозою безпеці інформаційних ресурсів обмеженого поширення є несанкціонований (незаконний, недозволений) доступ зловмисника або по ¬ сторонньої особи до документованої інформації і як результат - оволодіння інформацією і протиправне її використання або вчинення інших дестабілізуючих дій.
Під сторонньою особою розуміється будь-яка особа, що не має безпосереднього відношення до діяльності фірми (працівники інших організаційних структур, працівники комунальних служб, екстремальної допомоги, перехожі, відвідувачі фірми), а також співробітники даної фірми, що не володіють правом доступу в виділені приміщення, до конкретному документу, інформації, базі даних. Кожне із зазначених осіб може бути зловмисник або його спільником, агентом, але може і не бути ним.
Цілями і результатами несанкціонованого доступу може бути не тільки оволодіння цінними відомостями та їх використання, але і їх модифікації, модифікація, знищення, фальсифікацію, підміна і т. п [16].
Обов'язковою умовою успішного здійснення спроби несанкціонованого доступу до інформаційних ресурсів ограничення доступу є інтерес до них з боку конкурентів, визначених осіб, служб та організацій. При відсутності такого інтересу загроза інформації не виникає навіть у тому випадку, якщо створились передумови для ознайомлення з нею сторонньої особи. Основним винуватцем несанкціонованого доступу до інформаційних ресурсів є, як правило, персонал, робота з документами, інформацією та базами даних. При цьому треба мати на увазі, що втрата інформації відбувається в більшості випадків не в результаті навмисних дій зловмисника, а через неуважність та безвідповідальності персоналу.
Отже, втрата інформаційних ресурсів обмеженого доступу може настати при:
наявність інтересу конкурента, установ, фірм або осіб до конкретної інформації;
виникненні ризику загрози, організованої зловмисником, або при випадково сформованих обставинах;
наявності умов, що дозволяють зловмисникові здійснювати необхідні дії і оволодіти інформацією.
Ці умови можуть включати:
відсутність системної аналітичної та контрольної роботи з виявлення та вивчення загроз, каналів і ступеня ризику порушення безпеки інформаційних ресурсів;
неефективну систему захисту інформації або відсутність цієї системи, що утворює високу ступінь уразливості інформації;
непрофесійно організовану технологію обробки і зберігання конфіденційних документів;
невпорядкований підбір персоналу і плинність кадрів, складний психологічний клімат в колективі;
відсутність системи навчання працівників правил захист інформації обмеженого доступу;
відсутність контролю з боку керівництва фірми за дотриманням персоналом вимог нормативних документів в роботі з інформаційними ресурсами обмеженого доступу;
безконтрольне відвідування приміщень фірми сторонніми особами.
Слід завжди пам'ятати, що факт документування різко збільшується ризик загрози інформації. Великі майстри минулого ніколи не записували секрети свого мистецтва, а передавали їх усно синові, учневі. Тому таємниця виготовлення багатьох унікальний предметів того часу так і не розкрита до наших днів.
Отже, загрози конфіденційної інформації завжди реальні, відрізняються великою різноманітністю і створюють передумови посиланням для втрати інформації. Джерела загрози інформації конкретної фірми повинні бути добре відомі. В іншому разі не можна професійно побудувати систему захисту інформації.