И. К. Корнеев информационная безопасность и защита информации учебное пособие

Вид материала

Учебное пособие

Содержание 11. Структурированный материал для углубленной самостоятельной работы студентов по проблемам информационной безопасности офисной А Аналитическая работа Аналитическая работа по выявлению каналов несанкционированного доступа к конфиденциальной информации Аналитическая работа с источником конфиденциальной информации — Аналитическая работа с источником угрозы конфиденциальной информации Аналитическая работа с каналом объективного распространения конфиденциальной информации Б Безопасность Безопасность информационная Безопасность информационных ресурсов (информации) Безопасность маркетинговая Безопасность правовая Безопасность физическая Безопасность экономическая — Бланк документа Владелец информационных ресурсов Выделение документов к уничтожению Выделенное помещение Г Гриф конфиденциальности Д Действия персонала в экстремальных ситуациях Делопроизводство, документационное обеспечение управления ... Полное содержание

Подобный материал:

• Учебное пособие Томск 2009 Камышев Э. Н. Информационная безопасность и защита информации:, 2141.4kb.
• Программа обучения студентов (Syllabus) по дисциплине Информационная безопасность, 350.16kb.
• Сущность оп­ределяет в конечном ито­ге политику и деятель­ность в сфере защиты ин­формации., 362.11kb.
• Программа дисциплины «Информационная безопасность и защита информации» Направление, 280.62kb.
• Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
• Защита информации и информационная безопасность лекция 3 Основные направления и методы, 24.45kb.
• Методические указания к лабораторным занятиям Информационная безопасность и защита, 233.95kb.
• Информационная безопасность и защита информации, 23.76kb.
• Практикум по экологическому мониторингу окружающей среды Учебное пособие, 949.79kb.
• Учебно-методический комплекс по дисциплине Защита информации. Информационная безопасность, 244.66kb.

11. СТРУКТУРИРОВАННЫЙ МАТЕРИАЛ ДЛЯ УГЛУБЛЕННОЙ САМОСТОЯТЕЛЬНОЙ РАБОТЫ СТУДЕНТОВ ПО ПРОБЛЕМАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОФИСНОЙ ДЕЯТЕЛЬНОСТИ

Словарь-справочник терминов

А

Аналитическая работа — комплексное исследование различной целевой направленности, предназначенное для выявления, структуризации и изучения опасных объективных и субъективных, потенциальных и реальных ситуаций, которые могут создать риск для экономической безопасности фирмы, ее деятельности или персонала, привести к материальным, финансовым или иным убыткам, падению престижа фирмы или ее продукции. Аналитическая работа ведется службой безопасности или информационно-аналитической службой фирмы, носит превентивный, информационный характер и использует в качестве инструмента учетный аппарат, предназначенный для фиксирования (протоколирования) необходимых для анализа сведений. Результаты аналитической работы показывают степень безопасности интеллектуальной собственности, условий функционирования фирмы и являются основой для построения и совершенствования системы защиты традиционных и электронных конфиденциальных информационных ресурсов фирмы, формирования рубежей охраны территории, здания, помещений, оборудования, продукции и персонала фирмы.

Аналитическая работа по выявлению каналов несанкционированного доступа к конфиденциальной информации — прогнозирование и выявление на основе комплексного исследования сложившихся или предполагаемых ситуаций состава и особенностей образования каналов несанкционированного доступа к конфиденциальной информации конкретной фирмы в единстве с изучением характера возможных угроз ее информационной безопасности. Исследование проводится в целях выработки методов защиты, пассивного и активного противодействия злоумышленнику, который тайно находит или формирует и использует каналы несанкционированного доступа (НСД) к информации, получения (добывания) ценных для него сведений. В основе исследования фирмой возможных каналов НСД лежит классификация, учет и: изучение источников конфиденциальной информации фирмы, каналов естественного, объективного распространения этой информации, источников угрозы конфиденциальной информации и контроль эффективности системы защиты информации. Другие методы носят случайный характер ожидания ошибки в тайных действиях злоумышленника. На основе результатов аналитической работы определяются, учитываются и контролируются организационные и технические каналы НСД, вырабатываются меры предотвращения образования этих каналов, разрабатывается и систематически модифицируется система защиты информации фирмы, определяется ее структура и стоимость в соответствии с реальными опасностями, угрожающими ценной информации, ведется оценка надежности этой системы.

Аналитическая работа с источником конфиденциальной информации — комплексное исследование максимального числа источников, владеющих или содержащих конфиденциальные сведения. Предусматривает: выявление и классификацию источников конфиденциальной информации, изучение реального классифицированного состава циркулирующей конфиденциальной информации фирмы с указанием источников, обеспечиваемых функций и видов работы; изучение данных учета осведомленности сотрудников в тайне фирмы в разрезе каждого руководителя и сотрудника (в том числе технического), т.е. изучение степени и динамики реального владения персонала конфиденциальной информацией; изучение состава конфиденциальной информации в разрезе документов, т.е. изучение правильности расчленения тайны (конфиденциальной информации) между документами и определение избыточности ценной информации в документах; изучение выявленных угроз каждому отдельному источнику конфиденциальной информации; определение степени эффективности методов защиты информации, предпринятых по каждому источнику, и методов защиты, которые могут быть дополнительно использованы при активных действиях злоумышленника. При этом учитывается, что персонал является главным источником и виновником утраты конфиденциальной информации. Обязательному учету подлежат все санкционированные и несанкционированные обращения сотрудников к конфиденциальной информации, документам и базам данных.

Аналитическая работа с источником угрозы конфиденциальной информации — комплексное исследование максимального числа объектов и субъектов, представляющих опасность для информационной безопасности фирмы. Предусматривает выявление и классификацию источников угрозы конфиденциальной информации, разработку мероприятий по локализации и ликвидации объективных угроз, изучение каждого отдельного субъективного внутреннего и внешнего источника угрозы конфиденциальной информации, учет направленности интересов каждого источника, степени его опасности (анализ риска) при реализации угрозы. В области внешних источников угрозы аналитическая работа связана с маркетинговыми исследованиями, которые регулярно ведет любая фирма. Анализ внутренних источников угрозы имеет целью выявление и изучение недобросовестных интересов и злоумышленных устремлений отдельных сотрудников фирмы и партнеров. В процессе анализа источников выявляются факты получения злоумышленником секретов фирмы, факты сотрудничества персонала фирмы с конкурентами или наличия в составе сотрудников фирмы злоумышленника.

Аналитическая работа с каналом объективного распространения конфиденциальной информации — комплексное исследование максимального числа коммуникативных каналов, по которым перемещаются конфиденциальные сведения в санкционированном режиме. Предусматривает: выявление и изучение реального классифицированного состава каналов объективного распространения конфиденциальной информации фирмы; изучение составных элементов каждого канала с целью нахождения опасных участков, способствующих возникновению канала несанкционированного доступа к информации, изучение состава ценной информации, циркулирующей в каждом канале; изучение состава ценной информации, циркулирующей между источниками; изучение распространения информации при коммуникативных связях; изучение методов защиты, предпринятых по каждому каналу, дополнительных мер противодействия злоумышленнику при активных угрозах и к экстремальных ситуациях. Информация должна поступать к конкуренту только по контролируемому каналу.

Аутентификация — проверка подлинности документов, информации, передаваемых по запросу пользователей или иных лиц.

Б

Безопасность — защищенность жизненно важных интересов личности, общества и государства от внутренних и внешних угроз, состояние, при котором чему-либо или кому-либо не угрожает опасность.

Безопасность информационная — составная часть экономической безопасности предпринимательской деятельности. Включает в себя: а) комплексную программу (концепцию) обеспечения безопасности информационных ресурсов, отражающую актуальные задачи в этой области, и б) целесообразную в настоящий момент технологическую систему защиты информации, обеспечивающую необходимый уровень безопасности информационных ресурсов фирмы. Предполагает: наличие программы безопасности информационных ресурсов и аналитических исследований, систематической работы по определению и эволюции состава ценной, конфиденциальной информации, разработку организационных, распорядительных, нормативных и инструктивных документов, регламентирующих порядок реализации программы и систему защиты информации фирмы в части защиты информации в традиционном и электронном документообороте, защиты информации в компьютерах, сетях, линиях связи, защиты документированной информации от ошибочных и злоумышленных действий персонала, организации разрешительной системы доступа персонала к информации, защиты информации при ведении деловых переговоров, в рекламной и выставочной работе, защиты технических каналов распространения информации.

Безопасность информационных ресурсов (информации) — защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы и условиях экстремальных ситуаций. Безопасность ценной документированной информации (документов) определяется уровнем ее защищенности от стихийных бедствий, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных, а также опасностей неправомерного использования кем-либо ценных сведений, нарушения их сохранности, целостности и конфиденциальности. Безопасность предполагает также защищенность конфиденциальной информации в информационных системах от случайных и преднамеренных воздействий естественного и искусственного свойства, направленных на изменение степени доступности ценных сведений в машинной и внемашинной сферах. Без учета требований по внемашинной защите конфиденциальной информации на магнитных, бумажных и иных носителях (что несущественно для автоматизированной обработки открытой информации) уязвимость информации резко возрастает и гарантировать в этих условиях безопасность информационных ресурсов, коммерческой (предпринимательской) тайны становится невозможно.

Безопасность маркетинговая — составная часть экономической безопасности предпринимательской деятельности. Предполагает: наличие аналитических исследований деловых интересов добросовестных конкурентов и партнеров, конъюнктуры рынка продукции, анализ направленности интересов недобросовестных конкурентов, злоумышленников, организацию разведки в бизнесе, аналитическую работу по выявлению ситуаций, опасных для деятельности фирмы.

Безопасность правовая — составная часть экономической безопасности предпринимательской деятельности. Предполагает наличие: правовой грамотности учредителей и персонала, документов, решений и организации деловых отношений, процессуальной защиты интересов предпринимателя, лицензирование деятельности, правовое обеспечение защиты коммерческой (предпринимательской) тайны, технических и технологических новшеств (ноу-хау).

Безопасность физическая — составная часть экономической безопасности предпринимательской деятельности. Предполагает: наличие обученного персонала охраны, эффективной инженерной системы охраны территории, здания, помещений, транспорта, оборудования, продукции, персонала фирмы, наличие технических средств охраны, сигнализирования и оповещения о нарушении системы охраны, наличие установленного взаимодействия службы охраны с правоохранительными органами, регламентацию действий персонала в экстремальных ситуациях, организацию службы телохранителей, охраны инкассации, наличие эффективных средств пожаротушения.

Безопасность экономическая — всесторонняя защищенность предпринимательской деятельности, деловых интересов каждого творческого коллектива, предприятия, фирмы и предпринимателя в большом и малом бизнесе во времени и пространстве. Является обязательным условием успеха в бизнесе, получения прибыли и сохранения в целостности предпринимательской организационной структуры. Экономическая безопасность предпринимательской деятельности включает в себя составные части: правовую, маркетинговую, информационную и физическую безопасность.

Бланк документа — набор реквизитов, идентифицирующих автора официального письменного документа.

В

Видеограмма — изображение электронного документа на экране дисплея. В полном смысле слова документом не является, представляет собой заверенную или незаверенную копию документа (как и факсограмма).

Владелец информационных ресурсов — субъект, осуществляющий владение и пользование указанным объектом и реализующий полномочия распоряжения в пределах, установленных законом и собственником информационных ресурсов.

Выделение документов к уничтожению — выявление в процессе экспертизы научной и практической ценности документов с истекшими сроками хранения, утративших практическое, научное или общественное значение, и отбор их к уничтожению.

Выделенное помещение — рабочая комната или иное изолированное и охраняемое помещение, предназначенное для работы (исполнения, обработки, хранения) с традиционными (бумажными) и электронными документами, компьютерными базами конфиденциальных данных, изготовления и хранения изделий ограниченного доступа, проведения конфиденциальных совещаний, переговоров и заседаний. Подобные помещения, именуемые режимными, характеризуются; четкой разрешительной регламентацией и контролем доступа персонала в помещение, наличием постоянной охраны помещения и пропускного режима входа и выхода, контролем вносимых и выносимых предметов, в том числе личных вещей персонала, строгими правилами работы персонала с конфиденциальными документами, перекрытием всех потенциальных технических каналов утечки информации, автономной системой связи и энергоснабжения и другими особенностями.

Г

Гриф конфиденциальности — см. Гриф ограничения доступа к документу.

Гриф ограничения доступа к документу — реквизит (элемент, служебная отметка, помета, пометка) формуляра документа, свидетельствующий о конфиденциальности сведений, содержащихся в документе, проставляемый на самом документе и (или) сопроводительном письме к нему, называется часто грифом конфиденциальности. Гриф ограничения доступа обозначается в соответствии с ГОСТ Р 6.30-97 и имеет несколько уровней, отражающих степень конфиденциальности защищаемых сведений, относимых к коммерческой (предпринимательской) тайне. Массовый уровень — грифы «Конфиденциально», «Конфиденциальная информация». Второй уровень, достаточно редкий — грифы «Строго конфиденциально», «Строго конфиденциальная информация», «Конфиденциально. Особый контроль». Не следует ставить гриф «Коммерческая тайна», так как грифом обозначается не вид тайны, а характер ограничения доступа к документу. Под грифом указывается номер экземпляра документа, срок действия фифа или иные условия его снятия, изменения. Может ставиться помета «Лично». На документах, содержащих сведения, отнесенные к служебной тайне, ставится гриф «Для служебного пользования» с указанием номера экземпляра документа. На электронных документах указанные грифы обозначаются на всех листах. На документах, содержание которых отнесено к профессиональной тайне, а также на документации службы персонала гриф конфиденциальности, как правило, не ставится, так как весь массив указанных документов является конфиденциальным. На ценных, но не конфиденциальных документах целесообразно проставлять отметку (надпись, штамп), предполагающую особое внимание к сохранности таких документов (например: «Собственная информация фирмы», «Информация особого внимания», «Хранить в сейфе» и др.). Гриф конфиденциальности присваивается документу: исполнителем при подготовке к составлению проекта документа; руководителем структурного подразделения (или направления деятельности фирмы) или руководителем фирмы при согласовании или подписании документа; работником службы конфиденциальной документации при первичной обработке поступивших документов, если конфиденциальный для фирмы документ не имеет грифа ограничения доступа. Изменение или снятие грифа конфиденциальности документа производится при изменении степени конфиденциальности (ценности) содержащихся в нем сведений.

Д

Действия персонала в экстремальных ситуациях — система устойчивых и заблаговременно выработанных стереотипов (мотиваций) поведения персонала фирмы при возникновении опасности возникновения конкретного типа экстремальной ситуации. Разработка системы возлагается на службу безопасности фирмы. Система предусматривает классификацию экстремальных ситуаций для конкретной фирмы, систематическое обучение должностных групп персонала правилам поведения в том или ином случае, разработку схемы оповещения персонала об опасности (стихийном бедствии, возгорании, задымлении, возможности взрыва, нападении на фирму и т.п.) и вступлении в действие плана эвакуации документов, дел, ценного оборудования, уничтожения ценных и конфиденциальных баз данных, разработку схемы оповещения правоохранительных и противопожарных органов и служб, схемы эвакуации персонала в безопасную зону. Обучение персонала должно основываться на изучении нормативных и плановых документов, решении ситуационных задач и проведении регулярных деловых игр. Большое значение имеет не только наличие и постоянное обновление нормативных и плановых документов и схем, но и материальное обеспечение действий персонала — наличие запирающейся тары для упаковки и переноса ценных документов, дел, магнитных носителей, технически исправных тележек, автотранспорта и т.п. Следует предусмотреть формирование групп сотрудников для оказания помощи сотрудникам фирмы и службам экстремальной помощи, а также организацию охраны здания, помещений, оборудования и эвакуированных документов и дел, персонала. Кроме того, система должна обязательно включать обучение сотрудников правилам поведения при возникновении индивидуальной опасности.

Дело — совокупность документов или документ, относящиеся к одному вопросу или участку деятельности, помещенные в отдельную обложку.

Делопроизводство, документационное обеспечение управления — отрасль деятельности, обеспечивающая документирование и организацию работы с официальными документами.

Делопроизводство конфиденциальное — традиционная технологическая система обработки и хранения конфиденциальных документов, основанная на использовании ручных методов работы с документами. Трудоемкость множества технических и формально-логических процедур и операций обычно снижается за счет включения в технологический процесс организационной и вычислительной техники. Система является универсальной. Она надежно, долговременно обеспечивает защиту документированной информации как в обычных, так и в экстремальных ситуациях. В связи с этим технологические стадии защищенного документопотока в большинстве случаев реализуются методами и средствами именно традиционной системы обработки и хранения документов. Система одинаково эффективно оперирует как традиционными (бумажными), так и документами машиночитаемыми, факсимильными и электронными. Помимо документационного обеспечения управленческой и производственной деятельности конфиденциальное делопроизводство решает другую, не менее важную задачу — обеспечение сохранности носителя и конфиденциальности информации. Эта задача выполняется за счет: автономности функционирования указанной технологической системы, ее изолированности от аналогичных систем, связанных с обработкой других, в том числе открытых документов; операционного учета всех технологических действий, производимых с документом или чистым носителем информации; учета и обеспечения сохранности не только документов, но и учетных форм; персональной ответственности сотрудников за сохранность документа и тайну информации; наличия разрешительной системы доступа к документам; постоянного контроля за наличием, комплектностью и правильностью использования документов. Ведение конфиденциального делопроизводства централизуется в самостоятельном подразделении фирмы — службе конфиденциальной документации или в некрупных фирмах возлагается на управляющего делами, менеджера по безопасности или секретаря-референта (референта) первого руководителя.

Документ, документированная информация — зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Документ аудиовизуальный - документ, содержащий изобразительную и звуковую информацию.

Документ беловой — рукописный или машинописный документ, текст которого переписан с чернового документа или написан без помарок и исправлений. При автоматизированном изготовлении документов беловиком является машинограмма (твердая копия) или машиночитаемый документ, но не видеограмма.

Документ внутренний — подготовленный документ, не выходящий за пределы подготовившей его организации.

Документ входящий (входной) — документ, поступивший в организацию.

Документ выделенного хранения — ценный документ, изъятый по какой-то причине из дела, оформленный в самостоятельное дело и переведенный на инвентарный вид учета (см. Учет конфиденциальных документов), например документ более ограниченного доступа, чем другие документы дела.

Документ дублетный — один из экземпляров копии документа.

Документ изобразительный — документ, содержащий информацию, выраженную посредством изображения какого-либо объекта.

Документ исходящий (выходной) — подготовленный документ, отправляемый из организации.

Документ конфиденциальный — документ ограниченного доступа, на любом носителе, содержащий информацию, отражающую приоритетные достижения в сфере экономической, производственной, предпринимательской, управленческой и другой деятельности, а также информацию, состав которой является принадлежностью служебной деятельности. Утрата конфиденциального документа может нанести ущерб интересам или деловому успеху собственника или владельца информации. Под конфиденциальным (закрытым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения, которые относятся к негосударственной тайне, составляют интеллектуальную собственность юридического или физического лица и подлежат защите. Называть конфиденциальные документы секретными или ставить на них гриф секретности не допускается. Особенностью конфиденциального документа является то, что он представляет собой одновременно: массовый постель ценной, защищаемой информации; основной источник накопления и распространения этой информации, в том числе ее разглашения, утечки; обязательный объект защиты.

Документ машиночитаемый — официальный документ, созданный для обеспечения работы вычислительной техники. Например, документы на машиночитаемых носителях, машиночитаемые зоны на бумажных документах и др.

Документ официальный — документ, созданный юридическим или физическим лицом, оформленный и удостоверенный в установленном порядке.

Документ персональный — документ, содержащий персональные данные о гражданине, отражающие в том числе его личную или семейную тайную. Комплекс персональных документов служит инициативным условием возможности установления, изменения или прекращения трудовых правоотношений гражданина с учреждением или фирмой. Однако факт их выдачи или наличия сам по себе эти отношения не устанавливает. Комплекс включает в себя:

• документы, выдаваемые гражданам соответствующими государственными органами, организациями и юридически подтверждающие те сведения, которые граждане сообщают о себе, об образовании, семейном положении и т.д. (паспорт, трудовая книжка, военный билет, диплом, свидетельство, листок нетрудоспособности и др.);

• документы, выдаваемые рабочим и служащим организацией или фирмой по месту работы для подтверждения различных правовых фактов и целевого предоставления: ходатайство, письмо-рекомендация, характеристика, справка, удостоверение, пропуск, командировочное удостоверение и др.;

• документы, составляемые и направляемые гражданами администрации или профсоюзной организации фирмы в целях установления, изменения или прекращения трудовых или иных правоотношений: личные заявления, резюме, объяснительные записки, жалобы и др.;

• служебные документы, характеризующие профессиональные и деловые качества работника и не предназначенные для передачи этому работнику: представление к назначению на должность, аттестационный лист, протокол проведения собеседования, результаты тестирования, биографическая справка и другие документы.