Н. И. Лобачевского в. Н. Ясенев автоматизированные информационные системы в экономике учебно-методическое пособие
| Вид материала | Учебно-методическое пособие |
Содержание13.2 Принципы построения системы информационной безопасности Составные части делопроизводства |
- Neural Network Wizard 7 учебно-методическое пособие, 702.9kb.
- Учебно-методический комплекс по дисциплине: Информационные системы в экономике для, 266.03kb.
- Н. И. Лобачевского факультет управления и предпринимательства м. Ю. Малкина история, 1006.22kb.
- Н. И. Лобачевского Д. В. Суходоев, А. С. Котихина История таможенного дела и таможенной, 1362.83kb.
- Конспект лекций по дисциплине «Информационные системы в экономике», 1286.5kb.
- Темы контрольных работ в форме рефератов по дисциплине «Информационные системы в экономике», 11.18kb.
- В. Н. Ясенев Программа курса, 64.87kb.
- Учебно-методический комплекс по дисциплине «Информационные системы в экономике» Вторая, 163.77kb.
- Учебно-методическое пособие Рекомендовано методической комиссией финансового факультета, 556.98kb.
- Учебно-методическое пособие "Широкополосные сигналы" составлено в соответствии с программой, 317.01kb.
13.2 Принципы построения системы информационной безопасности
Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается обществом, что так поступать не принято. В рамках обеспечения информационной безопасности следует рассмотреть на законодательном уровне две группы мер:
- меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
- направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы Российской Федерации.
В Конституции РФ содержится ряд правовых норм, определяющих основные права и свободы граждан России в области информатизации, в том числе ст. 23 определяет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ст. 42 обеспечивает право на получение достоверной информации о состоянии окружающей среды и др.
В Уголовном кодексе РФ имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства. В числе таких статей ст. 137 «Нарушение неприкосновенности частной жизни», ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых и телеграфных или иных сообщений», ст. 140 «Отказ в предоставлении гражданину информации», ст. 155 «Разглашение тайны усыновления (удочерения)», ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну», ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование или распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» и др.
В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».
В Гражданском кодексе РФ вопросам обеспечения информационной безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.
Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.
С принятием в 1992 г. Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».
В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.
В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.
В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.
Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, информационных технологий, защите информации и др.
Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т.ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации».
Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).
Доктрина информационной безопасности Российской Федерации (далее – Доктрина) утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.
К подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 188.
Для создания и поддержания необходимого уровня информационной безопасности в фирме разрабатывается система соответствующих правовых норм, представленная в следующих документах:
- Уставе и/или учредительном договоре;
- коллективном договоре;
- правилах внутреннего трудового распорядка;
- должностных обязанностях сотрудников;
- специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);
- договорах со сторонними организациями;
- трудовых договорах с сотрудниками;
- иных индивидуальных актах.
Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования [243].
М
етоды и средства обеспечения безопасности экономического объекта представлены на рис. 13.2.Рис. 13.2 Методы и средства информационной безопасности экономического объекта
Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий [101].
Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:
- организационно-административные;
- организационно-технические;
- организационно-экономические.
В табл. изложены организационные мероприятия, обеспечивающие защиту документальной информации
Таблица 13.1
Обеспечение информационной безопасности организации
| Составные части делопроизводства | Функции обеспечения ИБ при работе с документами | Способы выполнения |
| Документирование | Предупреждение: – необоснованного изготовления документов; – включение в документы избыточной конфиденциальной информации; – необоснованного завышения степени конфиденциальности документов; – необоснованной рассылки | Определение перечня документов Осуществление контроля за содержанием документов и степени конфиденциальности содержания Определение реальной степени конфиденциальности сведений, включенных в документ Осуществление контроля за размножением и рассылкой документов |
| Учет документов | Предупреждение утраты (хищения) документов | Контроль за местонахождением документа |
| Организация документооборота | Предупреждение: – необоснованного ознакомления с документами; – неконтролируемой передачи документов | Установление разрешительной системы доступа исполнителей к документам Установление порядка приема-передачи документов между сотрудниками |
| Хранение документов | Обеспечение сохранности документов Исключение из оборота документов, потерявших ценность | Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц Установление порядка подготовки документов для уничтожения |
| Уничтожение документов | Исключение доступа к бумажной «стружке» | Обеспечение необходимых условий уничтожения Осуществление контроля за правильностью и своевременностью уничтожения документов |
| Контроль наличия, своевременности и правильности исполнения документов | Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи | Установление порядка проведения наличия документов и порядка их обработки |
Комплекс организационно-технических мероприятий состоит:
- в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;
- в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;
- в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;
- в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;
- в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;
- в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.