Защита информации оборонно-промышленного предприятия (Челябинский Tрaктopный Завод)

Автор: Пользователь скрыл имя, 15 Января 2011 в 00:22, реферат

Описание работы

Челoвеческoе oбществo пo мере своего развития прошло этапы овладения веществом, затем энергией и, наконец, информацией. В первобытнообщинном, рабовладельческом и феодальном обществах деятельность общества в целом и каждого человека в отдельности была направлена, в первую очередь. На овладение веществом.

Содержание

Введение 3
Состав защищаемой информации на предприятии 5
Угрозы защищаемой информации 7
Организационные меры по защите информации 11
Правовые меры по защите информации 14
Программно-аппаратные меры по защите информации 19
Инженерно-технические меры по защите информации 22
Заключение 25
Литература 26
Приложение А

Скачать полностью (45.74 Кб) Сколько стоит заказать работу?
Работа содержит 1 файл

Защита информации.doc

— 206.00 Кб (Скачать)

Другой  пример - сотрудник при увольнении затаил обиду на весь свет и хочет отомстить своим обидчикам, т.е. компании или ее руководству. Если в своей работе он имел достаточно широкие права, то, используя их, он может  существенно навредить и после своего ухода. Ведь обычно увольнение сотрудника сопровождается изъятием у него пропуска и все. Во всех компьютерных базах запись о нем, как правило, остается, и он по-прежнему может использовать вычислительные ресурсы компании в своих целях. В "лучшем" случае особого вреда не нанесет. Например, известен случай, когда после увольнения бывший сотрудник отдела автоматизации одной компании еще в течение года пользовался доступом в Интернет, зарегистрированным на данную компанию. При увольнении этого сотрудника никто не удосужился сменить пароли, к которым он имел доступ в рамках своих служебных обязанностей. На самом деле никто так и не заметил, что бывший сотрудник пользуется доступом в Интернет, и он мог продолжать наносить ущерб своей бывшей компании. Этот случай достаточно показательный, т.к. иллюстрирует очень распространенную практику увольнения в российских компаниях.

     Однако,  самая большая беда может исходить не от уволенных или обиженных обычных сотрудников, а от тех, кто облечен очень большими полномочиями и имеет доступ к широкому спектру самой различной информации. Обычно это сотрудники отделов автоматизации, информатизации и телекоммуникаций, которые знают пароли ко всем системам, используемым в организации. Их квалификация, знания и опыт, используемые во вред, могут привести к очень большим проблемам. Кроме того, таких специалистов очень трудно обнаружить, поскольку они обладают достаточными знаниями о системе защиты.

     Злоупотребление сотрудников корпоративным доступом в Интернет - пожалуй, одна из самых  злободневных проблем. По статистике, на личную переписку с рабочего места, а также на чтение различных развлекательных рассылок, люди ежедневно тратят до одного часа рабочего времени, причем грешит этим подавляющее большинство.

      Так же, помимо людей, для предприятия источником угрозы являются:

    • Технические средства отображения, хранения, обработки, воспроизведения, передачи информации, средства связи на предприятии(ЧТЗ);
    • Системы обеспечения функционирования технических средств отображения, хранения, обработки, воспроизведения и передачи информации на предприятии (ЧТЗ);
    • Технологические процессы предприятия (ЧТЗ);
    • Природные явления;

    Все эти угрозы могут нанести вред, как информации, так и предприятию (Таблица 1).          

Источники угрозы Хар-ка Виды  Способы Причины Объстоятельства Условия
Технические средства Многообразный. Ср-ва видео, телефон, радио и т.д. Выход из строя, Сбои, нарушение устройств Неправильный  монтаж средств, поломка, отключение, повреждение, заражение Плохое качество ср-в, Низкое качество Финансовые  ресурсы, плохой выбор ср-в, старение, недоработки, дефекты Недостаточное нимание к состоянию и качеству. Низкое качество обслуживания
Системы обеспечения функционирования Сист. Водоснаб., Теплоснабж, кондиц, Электроснабж Выход систем из строя, сбои в работе системы Неправильный  монтаж, поломка, авария, откл. Повреждение Поломка возгорание, затопление, природные явление, Технические неиспр., нарушение режима работы Недостаток  Внимания, Низкое качество обслуживания
Технологические процессы Технолог. Процессы производства тракторов Изм хим. И физического  состава Нарушения правил, авария Специфика технлологиии Необходимость такой технологии Отсутствие  возможности противодействия изм. Структ. Окр. среды
Природные явления Стихийные бедствия и атмосферные явления Землятрясения, наводнение, ураган, оползни и т.д. Затопление, сожжение, искажение, Специфика производства Неподконтр. обстоятельства Не поддающиеся  нейтрализации явления 

Таблица 1


Организационные меры по защите информации

     Организационная защита информации — это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: организацию охраны, режима, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационная защита обеспечивает:

  • организацию  охраны,  режима,  работу  с  кадрами,  с документами;
  • использование  технических средств  безопасности  и информационно-аналитическую  деятельность  по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационная защита включает в  себя регламентацию:

1) Формирования  и  организации  деятельности  службы  безопасности, обеспечения деятельности этих служб нормативно-методическими документами по организации защиты информации.

2)Составления  и  регулярного  обновления  состава  защищаемой  информации  компании,  составления  и  ведения  перечня защищаемых  бумажных  и  электронных документов.

3) Разрешительной  системы разграничения доступа  персонала к защищаемой информации.

4) Методов  отбора  персонала  для  работы  с  защищаемой информацией, методики обучения и инструктирования сотрудников.

5)Направлений  и  методов  воспитательной  работы  с  персоналом,  контроля  соблюдения  сотрудниками  порядка  защиты информации.

6)Технологии  защиты,  обработки  и  хранения  бумажных  и  электронных  документов.

7) Порядка  защиты  ценной  информации  компании  от  случайных или умышленных несанкционированных действий персонала.

8)  Ведения всех видов аналитической работы.

9)  Порядка  защиты  информации  при  проведении  совещаний, заседаний,  переговоров,  приеме  посетителей,  работе  с представителями СМИ.

10) Оборудования  и  аттестации  помещений  и  рабочих  зон,  выделенных для работы с конфиденциальной информацией.

11) Пропускного  режима на территории, в здании, помещениях,  идентификации транспорта и персонала компании.

12) Системы  охраны территории.

13) Действий  персонала в экстремальных ситуациях.

14) Организационных  вопросов  приобретения,  установки  и  эксплуатации технических средств защиты информации и охраны.

15) Работы  по управлению системой защиты  информации.

16) Критериев  и  порядка  проведения  оценочных  мероприятий по  установлению  степени  эффективности  системы  защиты информации.

     Система  организационных  мер  по  защите  информации представляют собой комплекс мероприятий, включающих четыре основных компонента:

—  изучение обстановки на объекте;

— разработку программы защиты;

— деятельность по проведению указанной программы в жизнь;

—  контроль за  ее  действенностью  и  выполнением  установленных правил.

     Выделяют  следующие организационные  мероприятия:

— ознакомление  с  сотрудниками,  их  изучение,  обучение  правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил  защиты информации и др.;

—  организация  надежной  охраны  помещений  и  территории прохождения линии связи;

— организация,  хранения  и  использования  документов  и носителей конфиденциальной информации,  включая  порядок учета, выдачи, исполнения и возвращения;

— создание  штатных  организационных  структур  по  защите ценной информации или  значение  ответственного  за  защиту информации на конкретных этапах еѐ обработки и передачи;

— создание  особого  порядка  взаимоотношений  со  сторонними организациями и партнерами;

— организация конфиденциального делопроизводства.

     Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так  как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются  не  техническими  аспектами,  а  злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения  опасности конфиденциальной информации.

     На предприятии (ЧТЗ) организационные меры по защите информации необходимы в области компьютерной технологий. Разница между западным подходом к защите информации и российским в том, что у них система напоминает «ежика», где каждая иголка - доступ к определенному участку информации. Если такая иголочка была использована не по назначению, ее выдергивают, то есть закрывают доступ. Российская же система больше напоминала «яблоко», в которое втыкают спички. Сначала она абсолютно гладкая, то есть закрытая. Нужен какой-то доступ - рассмотрим вопрос, и, может быть, воткнем в яблоко иголку. И там, где до сих пор действуют советскими методами, уровень безопасности выше. Расшифровка образа яблока выглядит так: изначально сотрудник получает опломбированный компьютер без выхода в Интернет, без доступа к внутренней сети, без дисковода и без CD-ROM. В этом случае возможность украсть что-либо приближается к нулю. В этом и будет заключаться организационная защита информации на предприятии (ЧТЗ).

 

     Правовые  меры по защите информации

    Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности. Так как Челябинский тракторный завод является государственным предприятием существуют документы, регламентирующие деятельность в области защиты информации.

Некоторые документы, регламентирующие деятельность в области защиты информации

  • Закон РФ от 21.07.1993 N 5485-1 (ред. от 18.07.2009) "О государственной тайне".
  • Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 3.04.95, 334.
  • Постановление Правительства РСФСР "О перечне сведений, которые не могут составлять коммерческую тайну" от 5.12.91 35.
  • Постановление Правительства Российской Федерации "Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности" 870 от 4.09.75.
  • Указ Президента Российской Федерации "О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации" от 9.01.99.
  • Постановление Правительства Российской Федерации "Об утверждении положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности", от 1.07.99, 770.
  • Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных", принят Верховным Советом РФ 23.09.99, 3523-1.
  • Закон Российской Федерации "О правовой охране топологий интегральных микросхем", принят Верховным Советом РФ 23.09.96, 3526-1.
  • Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера" 188 от 6.03.97.
  • Указ Президента Российской Федерации "Об утверждении перечня сведений, отнесенных к государственной тайне" 1203 от 30.11.98.
  • Указ Президента Российской Федерации "О Межведомственной комиссии по защите государственной тайны" 1108 от 8.11.99.
  • Постановление Правительства Российской Федерации "О сертификации средств защиты информации" ( с изменениями от 23 апреля 1996 года) 608 от 26.06.2000.

Информация о работе Защита информации оборонно-промышленного предприятия (Челябинский Tрaктopный Завод)