Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

«Контроль доступа к данным»

СОДЕРЖАНИЕ

ВВЕДЕНИЕ 3

ГЛАВА 1. ОРГАНИЗАЦИОННЫЕ АСПЕКТЫ КОНТРОЛЯ ДОСТУПА К ДАННЫМ 8

1.1 Доступ к базам данных 8

1.2 Выбор средств контроля доступа к данным 13

ГЛАВА 2. ОРГАНИЗАЦИЯ КОНТРОЛЯ К БАЗАМ ДАННЫХ 18

2.1. Планирование работ по защите информации и порядок отчетности 18

2.2. Контроль состояния защиты информации 21

2.3. Взаимодействие с учреждениями по вопросам защиты информации 31

ЗАКЛЮЧЕНИЕ 36

СПИСОК ЛИТЕРАТУРЫ 37

ВВЕДЕНИЕ

На сегодняшний день, в период быстро развивающихся информационных технологий, неуклонно возрастающего объема информации и усложнения коммуникаций все более актуальной становится задача защиты данных, в том числе защиты их передачи как между различными организациями, так и внутри одной компании, эффективной организации системы хранения ценной информации и возможности ограничения доступа к документам.

Организации защиты информации на современных предприятиях обычно уделяется меньше внимания, чем следовало бы. Хотя проще всего получить любую интересующую информацию из документов с помощью пробелов в делопроизводстве – это наиболее простой и малозатратный способ. Особенно это касается больших предприятий со сложной системой документооборота. Как известно, в программировании, чем сложнее код, тем вероятнее наличие в нем ошибок или чем сложнее система, тем более в ней выражена степень энтропии, отклонения от нормы. Поэтому на сегодняшний день актуальной становится задача выявления слабых мест в системе защиты документооборота и их укрепление.

Данное исследование актуально потому, что позволяет решить ряд практических задач на основе полученных в исследовании данных.

В данной сфере отмечено большое количество работ, раскрывающих вопросы безопасности как электронного, так и бумажного документооборота. Усилия многих ученых позволили создать практическую и теоретическую базу для дальнейшего углубления результатов в направлении организации защиты документов. Так, Е. Калугин основное внимание уделил проблемам защиты конфиденциальной информации, информационной безопасности личности, общества и государства, а также вопросам правового регулирования прав интеллектуальной собственности на информационные продукты[1].

Киви Берд – псевдоним специалиста по криптографии, шифрованию и дешифрованию, конспирологии, общей защиты информации. Настоящее имя автора неизвестно, что снижает уровень доверия. Долгое время публикуется в журнале «Компьютерра», также является автором книг об информационных технологиях. Основные темы статей – криптография, конспирология и теория заговора. Автор рассматривает технологическую сторону взлома и защиты электронных документов. Является обозревателем «Компьютерра», поэтому отслеживает новые события и атаки в мире информационных технологий. На основании сопоставления данных с другими работами можно установить степень достоверности его исследований[2].

Н.Н. Ковалева раскрыла понятия информации, информационного права и информационных правоотношений в современном обществе, охарактеризовала электронный документооборот, выявила особенности правового регулирования Интернета[3].

А. Крупин изучил виртуальные следы, оставляемые пользователем при работе в Интернете и программные средства их уничтожения. Стандартные log-файлы, скрипты и прочие средства владельцев сайтов способны сохранять информацию о пользователях: тип компьютера, операционной системы и браузера, страну пребывания, название и адрес провайдера, разрешение дисплея и т.д.[4].

А. Лукацкий рассмотрел ситуацию и в области информационной безопасности современных компаний, требования российского законодательства к средствам защиты, которое в неявной форме делит некоторые категории средств защиты на российские и зарубежные, закрывая последним дорогу на отечественный рынок (речь идет в первую очередь о средствах шифрования) и, возникшую в связи с этим, задачу единого управления этими разнородными средствами[5].

Особенности внедрения и применения новейших электронных технологий в современных библиотеках, основные проблемы, которые в основном заключаются в недостатке финансирования библиотек и обучении сотрудников, особенно старшего возраста представлены в работе Т.В. Майстрович[6].

В работе Г.Ю. Максимович приводятся правила оформления и составления документов разной направленности и назначения. По шагам описывается, как с помощью программ Word и Excel создать тот или иной документ. Немалое внимание уделяется тому, что и в какой форме должно быть написано в том или ином документе. Даются рекомендации по стилю служебного и делового письма. Рассматриваются правила международной переписки[7].

В исследовании О. Скиба даны основные направления защиты электронного документа в организации, основная идея – главным фактором в сфере безопасности является человеческий[8].

Особенности заключения договоров с использованием электронных документов были рассмотрены в работе Н. Соловяненко[9].

А. Стародымов, М. Пелепец пришли к выводу, что смартфоны являются самыми сомнительными устройствами в плане информационной безопасности. С позиций безопасности же были проанализированы флэш-карты и ноутбуки[10].

Н.Н. Федосеева в своей работе исследовала сущность и проблемы электронного документооборота, проанализировала преимущества электронных систем перед традиционными бумажными[11].

Н.Н. Федотов является автором цикла статей о защите данных на электронных носителях[12].

Джефри Розен (Jeffrey Rosen) и Грегори Конти (Gregory Conti) описали нашумевший взлом рейтинга, опубликованного газетой Time. В результате этого, рейтинг был изменен так, что первые буквы имен его лидеров образовывали определенную фразу[13].

Целью исследования является комплексное изучение средств и методов защиты информации от несанкционированного доступа на примере организации ТЭК.

Задачи, которые требуют решения для достижения данной цели: изучение организационных аспектов обеспечения защиты информации; исследование организационных и технических мероприятий по защите информации; планирование работ по защите информации и порядок отчетности; проведение контроля состояния защиты информации; организация взаимодействия с учреждениями по вопросам защиты информации.

Объектом исследования данной работы является ОАО «Газпромнефть-Урал», а предметом: система защиты информации ОАО «Газпромнефть-Урал».

Электронный документ тесно связан с понятием Интернет (англ. Internet, сокр. от Interconnected Networks – объединенные сети) – глобальная телекоммуникационная сеть информационных и вычислительных ресурсов. Поскольку ключевым словом в понятии Интернет является «глобальный», то территориальных рамок в объекте моей работы попросту не существует.

Хронологические рамки моей работы заключают период с начала 50-х гг. XX в. до настоящего времени. Это объясняется тем, что электроника начала развиваться высокими темпами в это время. Именно тогда были написаны коды первых программ ЭВМ – в 1951 г. Джон фон-Нейман предложил механизм самовоспроизводящихся программ – современных вирусов – которые продолжают совершенствоваться и по сей день.

Данная работа состоит из введения, двух глав, заключения, списка литературы, приложений.

ГЛАВА 1. ОРГАНИЗАЦИОННЫЕ АСПЕКТЫ КОНТРОЛЯ ДОСТУПА К ДАННЫМ

1.1 Доступ к базам данных

Особенностью анализа биологической информации является то, что в большинстве исследований требуется сделать запросы по нескольким параметрам к коллекции сгенерированных данных. Система, которая позволила бы обрабатывать такие запросы посредством адекватных интерфейсных средств ввода параметров и инфраструктуры доступа к большим коллекциям, также позволила бы высвободить ресурсы биоинформатиков и предоставить биологам качественные данные.

Сервисы GMQL (Рисунок 1) – коллекция биоинформационных сервисов с простым механизмом запуска и получения результата. Сервисы работают на уровне геномных регионов, предоставляя операции быстрого пересечения, выборки, соединения и т. д. Каждый сервис основан на геномном языке GMQL – высокопроизводительном окружении для запуска геномных запросов. GMQL – язык для формулирования геномных запросов, которые исполняются на фреймворке Hadoop. Сервисы оборачивают выбранные запросы геномного языка и предоставляют простой способ запуска запросов с пользовательскими параметрами и файлами. Интегрированные сервисы работают с пользовательскими данными и публичными репозиториями данных (ENCODE. Epigenomics Roadmap и т. д.).

https://sibac.info/files/2016_08_15_Nauka/Vaskin.files/image001.png

Рисунок 1. Изображение работы сервисов GMQL.

(1) Форма ввода данных с двумя параметрами, авто-заполнением и активированной подсказкой о количестве образцов, которые будут выбраны с текущими входными параметрами. (2) Часть результата со скачиваемыми данными во множественных форматах и распределение результирующих участков по хромосомам. (3) Часть результата, открытого в браузере IGB с подсказкой, которая показывает мета-данные результирующих участков

GMQL (GenoMetric Query Language) [1] поднимает уровень абстракции данных по сравнению с текущими языками, которые используются в биоинформатике, так как он позволяет формулировать запросы мощными, но простыми операциями. Таким образом, язык позволяет получать новые знания по ряду направлений. Важным аспектом языка является то, что он оперирует

геномными расстояниями, которые измеряются парами оснований (нуклеотидов) между регионами геномов. При предположении, что геномные участки выровнены на референсный геном, такие геномные операции вычисляются, как простые арифметические операции между координатами. В долгосрочной перспективе, главной сложность при работе с данными NGS является масштабируемость до тысяч или даже миллионов экспериментов. Поэтому на структуру геномного языка оказал влияние язык Pig Latin, высокоуровневый декларативный язык, который может быть исполнен на Hadoop.

Геномный язык GMQL составляет вычислительное ядро сервисов, которые предоставляют возможность создания веб-сервисов с пользовательскими операциями на лету.

Все доступные сервисы перечислены на странице инструментов. Пользователь может открыть любой сервис и запустить его. Сервисы, которые создаются администратором, появляются в верхней части списка. Пользовательские сервисы появляются в нижней части списка (в подразделе). Каждый сервис отображает статистику запусков. Сервисы отсортированы по популярности (числу запусков). Также, если сервис предполагает загрузку пользовательских данных, то он помечается соответствующим бейджем.

Поиск по запросу происходит в полях имен, описаний и текстах самих запросов сервисов. В поисковую выдачу попадают сервисы, которые содержат слова или части слов запроса в указанных выше полях.

Для запуска сервиса достаточно указать несколько параметров и нажать кнопку «Запуск». По завершению задачи, доступен скачиваемый результат. Для ознакомительного запуска, для большинства сервисов доступны параметры по умолчанию. Параметры по умолчанию можно подставить для их отображения перед запуском или же запустить сервис сразу.

Если запрос сервиса содержит операции выборки из геномных коллекций, то становится доступна функция оценки числа выбираемых экспериментов. Будет посчитано количество экспериментов с заданными параметрами. Это может быть полезно для оценки времени исполнения или правильности параметров.

Каждый запуск сервиса создает соответствующую вычислительную задачу. Список задач доступен на странице профиля пользователя. Таким образом пользователи могут запустить в асинхронном режиме столько задач, сколько необходимо и всегда иметь доступ к ним. Каждый пользователь имеет доступ только к собственным задачам и данным.

Текстовые параметры, которые вводит пользователь должны обязательно соответствовать соответствующим значениям в базе данных (таким образом, GATA1, gata1, gata – три разных значения). Для того, чтобы снизить процент ошибок, каждое поле ввода работает через автозаполнение.

По мере накопления данных в научном центре, биологам требуется выполнять разнотипные запросы, зачастую с использованием данных из открытых биоинформационных баз, содержащих сотни тысяч образцов. Например, для получения всех ChIP-Seq экспериментов для данного транскрипционного фактора. Геномный язык GMQL позволяет реализовывать различные запросы к хранилищам биоинформационных данных, таких как ENCODE. Разработанный метод генерации сервисов на основе геномного языка позволил биологам осуществлять запросы к большим хранилищам данных и получать результат в удобном для них формате, а также оценивать качество результата благодаря динамически генерируемым графикам и таблицам.

Система, реализующая метод генерации сервисов для запросов к биологическим базам данных, позволила исключить затраты на реализацию и внедрение скриптов, выполняющих аналогичную задачу.

Система генерации сервисов позволяет решать следующие задачи:

•  Осуществлять запросы к биоинформационным данным из открытых источников [2] и данным внутри лаборатории;

•  Создавать многократно используемые сервисы доступа к данным;

•  Искать пересечения между пользовательскими регионами и наработанными базами данных;

•  Получать в графическом виде результаты разнотипных запросов к геномным базам, например, для поиска супер-энхансеров для определенной ткани.

Программная система успешно прошла тестовые испытания и эксплуатируется в геномном центре при Европейском Институте Исследования Онкологии в Милане для автоматической обработки от двух до трех NGS-экспериментов в неделю.

1.2 Выбор средств контроля доступа к данным

При разработке автоматизированных информационных систем (АИС) с большим количеством разнообразных объектов и значи­тельным числом пользователей требуется учитывать множество различных факторов, влияющих на выбор технологии разработки АИС.

Для того чтобы обеспечить постоянный интерес пользователей, требуется постоянно расширять функциональность, автоматизируя все больше и больше бизнес-процессов, что особенно актуально и выгодно для предприятий, использующих АИС. Выбираемые для проекти­рования технологии должны обеспечивать легкое расширение функ­цио­нальных возможностей, а главное – способствовать выявлению ошибок, которые потенциально могут возникнуть при изменении структуры данных в связи с появлением новой функциональности. Кроме этого, система наполняется данными, это приводит к постепенному росту нагрузки, что должно учитываться в требованиях к используемым технологиям.

В данной работе особенности выбора и применения технологии доступа к данным будут показываться на примере АИС «Докумен­тарная база знаний» (АИС ДБЗ), которая представляет собой базу данных (БД), заполняемую различными электронными документами и интерактивными материалами, и интерфейс для работы с этой базой данных, предусматривающий возможность получения справочно-аналитической информации по ним. Таким образом, необходимо сформулировать преимущества и недостатки использования выбранной технологии доступа к базе данных для рассматриваемой системы.

Серверная часть анализируемой АИС ДБЗ реализована на языке программирования C# с применением технологии разработки веб-приложений и веб-сервисов ASP.NET. Клиентская часть реализована на сценарном языке программирования JavaScript с применением асинхронных запросов по технологии AJAX (Asynchronous Javascript and XML).

ASP.NET – технология разработки веб-приложений, являющаяся важной составляющей платформы .NET. В отличие от предшест­вующей версии ASP (Active Server Pages – «Активные страницы сервера»), эта технология предлагает унифицированную платформу, существенно упрощающую построение крупных веб-приложений [2]. Из языков программирования, доступных в платформе .Net, выбор сделан в пользу C#. Этот язык имеет строгую типизацию данных, что исключает возможные ошибки непредсказуемого преобразования типов. Также он полностью объектно-ориентирован, что положительно сказывается на надежности системы. Учитывая большое количество нововведений, этот язык позволяет быстро разрабатывать приложения без ущерба для качества кода приложения, но при этом сохраняет лаконичность, свойственную С-подобным языкам.

В качестве системы управления базами данных (СУБД) используется Microsoft SQL Server (MS SQL). Непосредственно запросы о доступе к данным выполняются не напрямую, посредством запросов на языке SQL, а через технологию LINQ, а именно LINQ to SQL. Такой подход имеет свои преимущества и недостатки. Следует отметить, что аналогичные реализации LINQ существуют и для других СУБД, поэтому выбор MS SQL Server не обусловлен выбором технологии LINQ to SQL.

«LINQ to SQL – это API-интерфейс для работы с базами данных SQL Server. В современном мире, где господствуют объектно-ориентированные языки программирования, существует несоответ­ствие между языком программирования и реляционной базой данных. При написании приложения мы моделируем классы как представления объектов реального мира, таких как заказчики, счета, политики и полеты. Нам нужен способ сохранения этих объектов, чтобы при перезапуске приложения все эти объекты с их данными не были потеряны. Однако большинство баз данных промышленного масштаба остаются реляционными и хранят свою информацию в виде записей в таблицах, а не в виде объектов» [3, с. 359].

Например, полями объекта «Акт» являются категория и набор рубрик, связанных отношением «многие к одному», то есть массив, который является унаследованным свойством родительского класса «Документ». При сохранении такая информация может быть записана, например, в 4 таблицы: «Документы», «Рубрики», «Категории», а также в таблицу дополнительных свойств акта по отношению к обычному документу.

https://sibac.info/files/2016_06_27_technics/Nabatchikova.files/image001.jpg

Рисунок 2. Структура базы данных и соответствующие ей классы

Ввиду существенных отличий типов данных, поддерживаемых языком приложения, от используемых в СУБД, при разработке требуется реализовывать специальные конверторы данных, которые выполняют отображение типов, данных приложения на соответст­вующие поля таблиц реляционной базы данных и обратно при записи и, соответственно, считывании объекта из БД. Это кропотливый и потому подверженный ошибкам этап разработки. Проблема объектно-реляционного отображения (object-relational mapping – ORM) привела к необходимости использования программных ORM-фреймворков [1]. В АИС ДБЗ в качестве такого решения выбрана технология LINQ to SQL – реализация ORM от Microsoft на основе LINQ, предназначенная для работы с SQL Server.

К недостаткам LINQ to SQL можно отнести снижение производительности. Однако стоит отметить, что речь идет о максимальной производительности, которой можно добиться, используя все возможности оптимизации запросов. Это связано с тем, что при использовании LINQ to SQL, как и других ORM, затрачивается дополнительное время на формирование оптимального запроса, плана его выполнения в СУБД, маппинг и компиляцию при том, что формируемый SQL-запрос не всегда оказывается в итоге оптимальным. Разработчику всегда необходимо контролировать, какие именно запросы формируются, например, используя Sql Server Profiler, чтобы обеспечить производительность, приближенную к той, которая может быть получена при использовании чистого T-SQL. Также к недостаткам LINQ to SQL следует отнести отсутствие возможности использования в рамках LINQ-запроса некоторых функций MSSQL, которые при применении чистого T-SQL могут давать существенное увеличение производительности запроса, в частности использование временных таблиц и таблиц переменных. Однако все эти недостатки являются платой за указанные выше возможности контролировать целостность модели данных, что особенно актуально при расширении функциональности, связанной с изменением структуры БД, а также с удобством проецирования объектов на таблицы реляционной БД.

Выбор технологии для реализации программных решений, несомненно, имеет ключевое значение для быстродействия, надежности и расширяемости системы. Выбор LINQ to SQL оправдан в случае ориентации на надежность и расширяемость системы, однако эта технология уступает в быстродействии чистому T-SQL. Рассмотренные преимущества и недостатки в той или иной мере присущи всем ORM, которые в свою очередь развиваются, сглаживая недостатки, связанные с подготовкой и компиляцией запросов. В частности, на данный момент Microsoft на смену LINQ to SQL предлагает Entity Framework. Он имеет лучшие параметры быстродействия, похож по синтаксису на LINQ to SQL, что облегчает переход на эту технологию. Тем не менее следует учитывать, что для крупных систем со значительным количеством функций переход на новую технологию связан с необходимостью дополнительных трудозатрат, что далеко не всегда экономически обосновано в связи с необходимостью последующего тестирования всей системы.

ГЛАВА 2. ОРГАНИЗАЦИЯ КОНТРОЛЯ К БАЗАМ ДАННЫХ

2.1. Планирование работ по защите информации и порядок отчетности

Данная работа базируется на ряде правовых актов, частью советских, продолжающих действовать в части, не противоречащей современному законодательству. Они регулируют отдельные правоотношения, касающиеся сферы экономической защиты.

Конституция закрепляет право на информацию и на защиту информации. Например, в ней предусмотрено наложение ареста на почтово-телеграфную корреспонденцию, ее осмотр и выемку только в интересах раскрытия преступлений по определению или постановлению суда.

Таким образом, Конституция создает предпосылки для правовой защиты информации.

Уголовный кодекс устанавливает ответственность за несанкционированное преодоление установленной защиты. Глава 28 УК «Преступления в сфере компьютерной информации» содержит три статьи: «Неправомерный доступ к компьютерной информации», «Создание, использование и распространение вредоносных программ для ЭВМ» и «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

Признаки преступлений, предусмотренных в статьях 272 и 274 УК, с технической точки зрения весьма похожи. Различие заключается в правомерности или неправомерности доступа к ЭВМ, системе ЭВМ или их сети. Статья 274 УК отсылает к правилам эксплуатации компьютерной системы, но в статье 272 в качестве одного из последствий указано нарушение работы компьютерной системы, что, с технической точки зрения, является отступлением от правил и режима эксплуатации. Поэтому имеет смысл эти преступления законодательно объединить.

Федеральный закон (ФЗ) «Об электронной цифровой подписи» от 2002 г. закрепляет основные понятия в области защиты информации: «электронный документ», «электронная цифровая подпись», «владелец сертификата ключа подписи», «средства электронной цифровой подписи», «сертификат средств электронной цифровой подписи», «закрытый ключ электронной цифровой подписи», «открытый ключ электронной цифровой подписи», «сертификат ключа подписи», «подтверждение подлинности электронной цифровой подписи в электронном документе», «пользователь сертификата ключа подписи», «информационная система общего пользования», «корпоративная информационная система».

В ФЗ «Об информации, информационных технологиях и о защите информации» от 2006 г. дается понятие защиты информации, требования о защите информации, обязанности обладателя информации по ее защите.

В ФЗ «О лицензировании отдельных видов деятельности» от 2001 г. фактически указано, что деятельность, связанная с различными типами информации ограниченного доступа подлежит лицензированию, что придает особый статус таким видам деятельности, например, как: деятельность, связанная с защитой государственной тайны, деятельность в области связи, биржевая деятельность, нотариальная деятельность, деятельность профессиональных участников рынка ценных бумаг, осуществление внешнеэкономических операций, использование результатов интеллектуальной деятельности, частная детективная (сыскная) деятельность.

ФЗ «О коммерческой тайне» от 2004 г. закрепляет перечень информации, не относящийся к коммерческой тайне и, следовательно, не являющейся объектом защиты. В законе описывается порядок предоставления информации, составляющей коммерческую тайну и охрана такой информации.

Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. В нем перечислены учреждения, обладающие правом сертифицировать средства защиты информации (ЗИ). Естественно, речь идет о государственных органах. То, что этих учреждений несколько, а не одно, обусловлено тем, что все они обладают правом создавать технические средства ЗИ. Для координации деятельности этих учреждений по сертификации создана Межведомственная комиссия по защите государственной тайны.

В Постановлении от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» описывается алгоритм, в котором производится сертификация средств защиты информации. Также представляется список учреждения, имеющих право сертифицировать средства защиты информации.

ГОСТ Р 51141–98. Делопроизводство и архивное дело. Термины и определения отражает терминологическую систему понятий в области делопроизводства и архивного дела, в том числе ЗИ. Например, гриф ограничения доступа к документу – реквизит официального документа, свидетельствующий об особом характере информации, ограничивающий круг пользователей документа.

В ГОСТ Р ИСО 15489-1-2007 даются рекомендации по выбору носителя информации, средств их физической защиты, процедуры обработки и системы хранения.

В ГОСТ Р 53114-2008 перечисляются основные термины защиты информации их определения. Термины применяются при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

ИСО/МЭК 27001 Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования. Этот стандарт является правовой основой: разработки; внедрения; функционирования; мониторинга; анализа; поддержки; улучшения системы менеджмента информационной безопасности (СМИБ).

Несомненно, скорость развития информационных технологий очень велика, поэтому в этот стандарт часто вносятся изменения.

Источником обеспечения экономической безопасности организации выступает Закон РФ от 11 марта 1992 г. “О частной детективной и охранной деятельности в Российской Федерации” № 2487-1. Ст. 14 данного правового акта закрепляет, что предприятия, независимо от своих организационно-правовых форм, и располагающиеся на территории Российской Федерации, вправе создавать в составе своих структур подразделения безопасности для осуществления охранно-сыскной деятельности в интересах собственной безопасности учредителя.

Таким образом, данная сфера регулируется рядом документов - нормативно-правовых актов.

2.2. Контроль состояния защиты информации

Организация защиты информации на предприятии была рассмотрена путем проведения опроса. Цель исследования – оценить ситуацию в области обеспечения безопасности электронного документа в организации.

Полученные данные были подвергнуты статанализу. Были опрошены 41 человек (приложение 2).

Что касается отношения пользователей к состоянию информационной защиты организации – вопрос анкеты «Как Вы оцениваете уровень компьютерной безопасности в Вашей организации» отражает субъективную оценку респондентов системы защиты своей организации. Результаты: а) достаточен, но существует риск утечки информации – 29%; слишком высок (нет необходимости столь строгих ограничений) – 8 %; в) недостаточен – 27 %; г) какая бы ни была защита – кто захочет, тот найдет способ ее нарушить – 36 %. Как видим, большинство респондентов справедливо полагают, что защиту можно нарушить.

В 8 случаях из 10 дыры в системе безопасности обусловлены тем, что пользователи пренебрегают базовыми принципами защиты информации. То есть метауровнем контроля над системой. Пренебрегают, потому что считают принципы банальными, очевидными и поэтому не заслуживающими внимания. Рядовой пользователь ошибочно полагает: «если просто, значит, неэффективно». Это стандартное умозаключение, свойственное новичкам в любой области знаний и умений. Они просто не принимают в расчет тот факт, что в основе работы любой системы лежат именно «банальные» принципы.

В шестом вопросе анкеты оценивалось доверие респондентов к сотрудникам. Вероятность атак со стороны работников организаций, по мнению респондентов, составила 49 %, вероятность внешних атак – 51 %. Опрос показал, что ненамного, но все же, больше сотрудники опасаются внешних атак.

Рисунок 3 - Наибольшая опасность атак – внешних или внутренних

Согласно результатам исследования спама опасаются 4 % респондентов, утечки данных – 14 %, искажения данных – 14 %, кражи оборудования – 10 %, саботажа – 1 %, сбоев информационных систем – 15 %, заражения вредоносным ПО (вирусы, черви) – 14 % опрошенных, за опасность hack-атак было отдано 10 % голосов. Отдельно была отмечена опасность атак на сервер и взлом ISQ, опасность низкоуровневых DDOS-атак, т.е. атак нарушающих работу системы.

Рисунок 4 - Наиболее опасные угрозы внутренней информационной безопасности

Спам (англ. – Spam) – рассылка по электронной почте сообщений какого-либо характера без согласия на это получателя. Периодически повторяющийся спамминг может нарушить работу пользователей из-за перегрузки сервера электронной почты, вызвать переполнение почтовых ящиков, что приведет к невозможности получения и отправки обычных сообщений, увеличит время нахождения получателя «на линии», а это дополнительные расходы времени и трафика.

Hack – класс атак, используемые для исследования операционных систем, приложений или протоколов с целью последующего анализа полученной информации на предмет наличия уязвимостей, например, Ports scan, который можно также отнести к малоэффективной DOS-атаке. Выявленные уязвимости могут быть использованы хакером для осуществления несанкционированного доступа к системе либо для подбора наиболее эффективной DOS-атаки.

Следует помнить, что антивирусные программы, как и любое другое программное обеспечение, не застраховано от ошибок, троянских программ и др. Также не следует преувеличивать надежность защиты с помощью антивирусных программ.

Как и в большинстве других случаев организации защиты, оптимальной стратегией защиты от компьютерных вирусов является многоуровневая. Такую защиту обеспечивают современные профессиональные пакеты антивирусного программного обеспечения. Такие пакеты содержат резидентную программу-страж, выполняющую роль ревизора системы и главную программу-антибиотик для тотальной очистки от вирусов. Характерной чертой этих пакетов является наличие программы оперативного обновления антивирусных баз с использованием локальной или глобальной компьютерной сети. Такой антивирусный пакет должен быть установлен на каждый компьютер локальной сети. Компьютер-сервер же снабжается специализированным антивирусным пакетом для серверов. Такой пакет программ дополнен программным межсетевым экраном, что обеспечивает улучшенную комплексную защиту.

Самой же надежной защитой от известных вирусов для изолированного от сети компьютера следует считать терапию – тотальную проверку на вирусы всех файлов, в том числе архивов, системных и текстовых файлов, на данном компьютере. Программы-антибиотики производят проверку, лечение, а при невозможности лечения – удаление зараженных всеми известными вирусами файлов.

Выполнять тотальную проверку и лечение необходимо часто и систематически, а также перед каждым резервированием и архивированием.

На мнение респондентов о наиболее подверженной утечке информации в организации, несомненно, оказала влияние специфика организации. Финансовые отчеты, согласно ФЗ «О коммерческой тайне», таковой не являются. Здесь респонденты дополнительно выделили информацию о клиентах и поставщиках: а) персональные данные – 29 %; б) финансовые отчеты – 16 %; в) детали конкретных сделок – 26 %; г) интеллектуальная собственность – 16 %; д) бизнес-планы – 10 %.

Рисунок 5 - Наиболее подверженная утечке информация

Как показывает исследование, в качестве наиболее действенных средств защиты информации респонденты отдельно отметили регулярное резервное копирование (бэкап) и организационные средства защиты. За антивирус отдали голоса 22,9% респондентов.

Респондентами отдельно была отмечена опасность низкоуровневых DDOS-атак.

Согласно исследованию, планы организации по наращиванию систем информационной безопасности в ближайшие три года, по мнению различных сотрудников, выглядит следующим образом. Часть респондентов заявила, что у них нет никаких планов, часть, что секретная информация не предвидится и «к тому, что есть, не требуется особых дополнений»: а) система защиты от утечек – 11 %; б) шифрование данных при хранении – 14 %; в) системы контроля идентификации и доступа – 19 %; г) ИТ-системы физической безопасности – 9 %; д) защита от внешних вторжений (IDS/IPS) – 19 %; е) система резервного копирования – 19 %. Интересным показалось предложение поменять бухгалтера.

Рисунок 6 - Планы организации по наращиванию систем информационной безопасности

Российские и международные ГОСТы, предъявляющие требования к управлению документами и построению систем защиты информации, позволяют классифицировать риски электронных систем следующим образом: защита от несанкционированного доступа утечки информации, защита от физической порчи, утраты, защита от изменений, защита от не правильного использования, защита от невозможности использования. Каждый из этих рисков имеет цену. В сумме они могут составить цифру, способную разорить любую организацию.

Возможность пользоваться с работы электронной почтой относится к организационным мерам информационной защиты: а) только корпоративной почтой (внутри организации) – 19 %; б) только корпоративной почтой (в том числе переписываться с внешними абонентами) – 31 %; в) почтовыми ящиками любых сайтов – 44 %; г) внутрикорпоративный ящик и внешняя почта разделены, доступ к внешней почте с отдельного рабочего места – 6 %.

Перлюстрация – тайное вскрытие и просмотр пересылаемой по почте корреспонденции. Фактически – предупреждение различных преступных деяний. В исследуемых организациях перлюстрация – это: а) нормальная практика – 19%; б) нарушение прав человека – 60 %; в) бесполезное занятие – 21 %.

При изучении принципов защиты информации также исследовались права пользователей. Так, доступ в Интернет в организации: а) свободный для всех без ограничений по ресурсам – 29 %; б) свободный за исключением некоторых сайтов – 29 %; в) разрешен только руководителям и некоторым специалистам – 42 %. Дело в том, что путешествие по сети Интернет может привести к заражению компьютера вредоносным программным обеспечением (ПО). Ограничение прав пользователей способно ограничить риск заражения.

Рисунок 7 - Права сотрудников организации на доступ в Интернет

Телефонные разговоры по личным вопросам на работе. Их ограничение сокращает утечку коммерческой информации. Итог: телефонные разговоры а) запрещены и контролируются – 8 %; б) запрещены и не контролируются – 58 %; в) не ограничены – 34 %.

Брать работу на дом (практически означает выносить защищаемую информацию за пределы организации, что, конечно, не способствует повышению уровня безопасности: а) невозможно – 29 %; б) обычная практика – 47 %; в) запрещено формально – 34 %.

Величина организации определяет необходимость образования должности специалиста по информационной безопасности или отдельного структурного подразделения информационной защиты. Возможно, целесообразно обратиться в организацию, занимающуюся вопросами информационной защиты.

Личное отношение к ограничениям, связанным с обеспечением информационной безопасности – опять же, субъективная оценка, показывающая отношение к защите информации – принятие-непринятие установленных мер, привычка. Личное отношение к ограничениям: а) несущественны – 36 %; б) неприятно, но терпимо – 20 %; в) причиняют значительные неудобства, и при этом часто бессмысленны – 0 %; г) причиняют значительные неудобства, но без этого не обойтись – 18 %; д) у меня нет никаких ограничений – 26 %.

Рисунок 8 - Личное отношение к ограничениям, связанным с обеспечением информационной безопасности

При формировании системы информационной защиты необходимо учитывать специфику каждой отдельной организации. Для каждого случая надо формировать свой комплекс мер по защите от подделки. Стоимость производства документа должна оправдывать экономический эффект от мероприятия. Также как доход от производства подделки должен превышать затраты на его изготовление. Следует ограничивать документы по периодам обращения: новый дизайн бланков, новые логотипы и прочие ротационные изменения могут предупредить часть подделок. В зависимости от применяемых технологий защиты следует определиться, целесообразно ли применения программно-аппаратного комплекса защиты, обеспечивающего диагностику подлинности экземпляра выбранного документа. Новые алгоритмы сравнения изображений в дополнение к комбинации компонентов программного продукта способны определить подлинность документа.

Прежде всего, необходимо разработать и утвердить организационные документы, закрепляющие порядок работы сотрудников с документами, подлежащими защите. Например, инструкцию деятельности специалиста по обеспечению информационной безопасности. Для этого необходимо составить перечень документов, подлежащих защите, идентифицировать угроз безопасности, оценить риски, т.е. провести аудит информационной безопасности.

На основе собранной в процессе аудита безопасности информации разрабатывается проект инструкции деятельности специалиста по обеспечению информационной безопасности. Для этого может быть использован типовой проект инструкции деятельности специалиста по обеспечению информационной безопасности, с адаптацией его к специфическим особенностям организации.

После утверждения документа необходимо внедрить его в организации, а это обычно встречает сопротивление со стороны сотрудников организации, поскольку налагает на них дополнительные обязанности, усложняет работу. Поэтому система безопасности документов должна быть тщательно продумана и целесообразна, не должна создавать значительные трудности в работе.

По итогам проведенного исследования можно сделать следующие выводы:

Наиболее опасные угрозы информационной безопасности: сбой информационной системы, утечка информации, искажение данных.

Документы, представляющие наибольший интерес для злоумышленников – договоры, документы, содержащие персональные данные.

Наиболее действенными средствами защиты электронных документов является резервное копирование и организационные меры защиты.

Организация характеризуется высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения принимаемых мер недостаточно.

2.3. Взаимодействие с учреждениями по вопросам защиты информации

В данной организации разработана Политика информационной безопасности (ПИБ), направленная на решение проблемы комплексной защиты информации. Под политикой информационной безопасности понимают «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе»[14]. Корректно разработанные и остающиеся актуальными, они отражают мнение руководства по вопросу информационной безопасности, связывают воедино все методы защиты информации, позволяют разработать единые стандарты в области защиты информации, регламентируют работу сотрудников. Политики информационной безопасности являются основой для дальнейшей разработки документов по обеспечению безопасности: стандартов, процедур, регламентов, должностных инструкций и т.д.

Актуальность разработки политик информационной безопасности для компаний объясняется необходимостью создания механизма управления и планирования информационной безопасности. Также политики ИБ позволяют совершенствовать следующие направления деятельности компании[15]: – поддержка непрерывности бизнеса; – повышение уровня доверия к компании; – привлечение инвестиций; – минимизация рисков бизнеса с помощью защиты своих интересов в информационной сфере; – обеспечение безопасного и адекватного управления компании; – снижение издержек; – повышение качества деятельности по обеспечению ИБ.

Естественно, что совершенствование направлений деятельности организации зависит от грамотности составления политики информационной безопасности.

Политики информационной безопасности определяют стратегию и тактику построения системы защиты информации. Стратегическая часть связана со стратегией развития бизнеса компании и развитием ее IT-стратегии. Тактическая часть, в свою очередь, подробно описывает правила безопасности. В соответствии с определением политики информационной безопасности и рекомендациями международных стандартов в области планирования и управления ПИБ, политики должны содержать[16]: определение предмета, задач и целей; условия применения и их ограничения; отражение позиции руководства в отношении выполнения политики ИБ и создания комплексной системы ИБ; определение прав и обязанностей сотрудников; определение границ ответственности сотрудников за выполнение политики ИБ; порядок действий в случае нарушения политики ИБ.

Как правило, основная ошибка заключается в отсутствии в компании формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора средств защиты, текущее состояние ИБ (уровень зрелости компании с точки зрения обеспечения информационной безопасности) и планы развития компании.

Основные положения информационной безопасности и позиция руководства компании прописываются в концепции информационной безопасности (КИБ). Концепция информационной безопасности реализуется в частных политиках информационной безопасности, процедурах, руководствах и стандартах, обеспечивающих детальную интерпретацию положений КИБ для сотрудников, партнеров и клиентов компании и организации. Эта структура руководящих документов и называется политикой информационной безопасности.

Частные политики информационной безопасности определяют «почему» компания защищает свою информацию. Стандарты обозначают «что» компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают «как» компания будет выполнять требования, описанные в высокоуровневых документах (частной политике и руководствах).

При разработке каждой новой частной политики информационной безопасности составляются свои руководства, стандарты и процедуры. У нескольких разработанных частных политик могут быть одинаковые, пересекающиеся или дополняющие друг друга стандарты и процедуры.

Таким образом, политика информационной безопасности является неотъемлемой частью систем установления режима информационной безопасности и контроля за ним: систем информационной безопасности (СИБ) и систем управления информационной безопасности (СУИБ) соответственно.

Несмотря на огромное количество публикаций в российской и зарубежной прессе по проблемам защиты информации, лишь немногие компании «созревают» до внедрения СИБ. Уже существующие системы, за редким исключением, построены по принципу «латания дыр»: средства защиты информации (СЗИ) внедряются бессистемно, в основном с учетом мнения местных специалистов, либо наличия на рынке недорогих решений.

Основными же аргументами в пользу внедрения тех или иных СЗИ, как правило, являются положения руководящих документов, международных или отраслевых требований, соответствующих стандартов. Задачу построения системы информационной безопасности каждое ведомство решает своими подходами, на основе имеющихся специалистов и ограниченного выбора решений. И разными темпами: где-то все упирается в нехватку денег, где-то в недостаток внимания руководства.

Ограниченное число компаний предоставляют СМИ информацию о том, как производится оценка защищенности ИС и есть ли на это регламенты. Практически невозможно узнать, проводится ли аудит системы управления информационной безопасностью (СУИБ). Тем не менее, в большинстве отраслей существуют внутренние административные документы по ИБ (инструкции, регламенты, разделы в трудовых соглашениях).

Доводы о важности анализа рисков лишь недавно начали завоевывать своих сторонников среди руководства и сотрудников отечественных компаний.

Анализ рисков ИБ, как поиск бизнес-процессов, уязвимых с точки зрения связанности с ИТ-инфраструктурой, в российских компаниях пока не прижился. Сыграло свою роль отсутствие в большинстве компаний культуры управления рисками, а, кроме того, специализированные организации изначально оказывали эту услугу непрофессионально. Анализ опрометчиво сводился лишь к определению степени защищенности/уязвимости серверов без учета остальной ИТ-инфраструктуры и бизнеса компании в целом. Негативно сказалась и неопределенность критериев оценки рисков. В итоге анализ рисков стал инструментом обоснования внедрения СИБ, выгодного компании-подрядчику.

Таким образом, большинство отраслевых компаний и ведомств не желают раскрывать вопросы, описывающие архитектуру, схемы и детали построения существующей СИБ: есть ли концепция и политика ИБ; как оценивается защищенность; регулярно ли проводится аудит ИБ; и т.д.

Исключения составляют лишь отечественные лучшие практики («best practice») реализации СИБ, например, РАО «ЕЭС России», Федеральная таможенная служба и т.д.

ЗАКЛЮЧЕНИЕ

Процесс обеспечения экономической безопасности предприятия, несомненно, творческий. В этом выражается вечная борьба с преступностью, которая, как известно неискоренима. Естественно, творчество здесь не является самоцелью. Основной задачей является защита документа.

По итогам проведенного исследования можно сделать следующие выводы: наиболее подвержены атакам злоумышленников документы, содержащие условия отдельных сделок и персональную информацию.

Наиболее опасные угрозы информационной безопасности: сбой информационной системы; утечка информации; саботаж; заражение вредоносными программами; атаки злоумышленников; перлюстрация почты; искажение данных.

Наиболее действенными средствами защиты электронных документов является: резервное копирование; организационные меры защиты.

ОАО «Газпромнефть-Урал» характеризуются высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения делается сравнительно немного.

С целью совершенствования информационной защиты предприятия было предложено разработать инструкцию специалиста по информационной безопасности, разделами которой будет являться: Общие положения; Должностные обязанности; Права; Ответственность.

СПИСОК ЛИТЕРАТУРЫ

  1. Конституция (Основной Закон) Российской Федерации – России: принята Государственной Думой 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ) // Российская газета - № 7 - 21.01.2009.
  2. «Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ (ред. от 05.04.2013) // Российская газета - № 256 - 31.12.2001.
  3. УК РФ от 13.06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.03.2011) // Собрание законодательства РФ. - 17.06.1996. - № 25. - ст. 2954.
  4. ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года (в редакции от 06.04.2011) // Российская газета. - № 165. - 29.07.2006.
  5. ФЗ от 29.07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.07.2007) // Парламентская газета. - № 144. - 05.08.2004.
  6. ФЗ от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года (в редакции от 08.11.2007) // Парламентская газета. - № 17. - 08-14.04.2011.
  7. Федеральный закон от 25.06.2002 N 73-ФЗ «Об объектах культурного наследия (памятниках истории и культуры) народов Российской Федерации» (в редакции от 30.11.2010) // Парламентская газета. - № 120-121. - 29.06.2002.
  8. Федеральный закон от 08.08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности» (принят ГД ФС РФ 13.07.2001) (в редакции от 29.12.2010) // Российская газета. - № 97. - 06.05.2011.
  9. Закон РСФСР от 15.12.1978 «Об охране и использовании памятников истории и культуры» (в редакции от 25.06.2002) // Свод законов РСФСР», т. 3, с. 498.
  10. Постановление Совмина СССР от 16.09.1982 № 865 «Об утверждении положения об охране и использовании памятников истории и культуры» (в редакции от 29.12.1989, с изменениями от 25.06.2002) // Документ опубликован не был. Информационная система «Консультантплюс».
  11. Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» (в редакции от 21.04.2010) // Российская газета. - № 145. - 28.06.1995.
  12. Квалификационный справочник должностей руководителей, специалистов и других служащих (утвержден постановлением Минтруда РФ от 21 августа 1998 г. N 37) // Минтруд РФ, М., 1998.
  13. ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. М.: Госстандарт России, 1998 // ГОСТ Р 51141-98. Делопроизводство и архивное.
  14. ГОСТ Р ИСО 15489-1-2007. Управление документами. Общие требования // М., Стандартинформ, 2007.
  15. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения // Документ опубликован не был. Информационная система «Консультантплюс».
  16. ИСО/МЭК 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования // ИСО/МЭК 27001. Информационные технологии. Методы защиты.
  17. Авдеев В.В. Должностные инструкции работников организации // Бухгалтерский учет в издательстве и полиграфии. 2009. № 1. С. 42-47.
  18. Безруков, Н.Н. Компьютерная вирусология / Н.Н. Безруков. – Киев: Книга, 1990. – 28 с.
  19. Бехтер Л.А. Методический подход для получения интегральной оценки экономической безопасности сельскохозяйственных предприятий на основе метода энтропии // Бизнес информ. 2013. № 2. С. 83-87.

Богатко А.Н. Основы экономического анализа хозяйствующего субъекта. М.: Финансы и статистика. 2008.

  1. Ваганова Л.В. Оценка интерфейсной составляющей экономической безопасности машиностроительных предприятий // Экономика развития. 2013. № 2. С. 81-85.
  2. Вестник Кузбасского государственного технического университета. 2006. № 2. С. 97-101.
  3. Вестник Саратовского госагроуниверситета им. Н.И. Вавилова. 2012. № 02. С. 80-82.
  4. Власенко И.В. Информационное обеспечение эколого-экономической безопасности в аграрном секторе // Экономика и предпринимательство. 2013. № 10. С. 480-484.
  5. Воротынская А.М. Особенности оценки уровня экономической безопасности на современном предприятии // Известия Санкт-Петербургского университета экономики и финансов. 2013. № 2. С. 98-100.
  6. Гознак [Электронный ресурс]: Официальный сайт. URL: http://www.goznak.ru/.
  7. Гончаренко, Л. Экономическая безопасность предприятия [Электронный ресурс]. Режим доступа: http://psj.ru/saver_magazins/detail.php?ID=8445&PAGEN_1=1&ID=8445&saver_magazins=235#review_anchor.
  8. Гришко Н.Е., Маслак М.В. Механизм управления экономической безопасностью машиностроительного предприятия в контексте развития трансфера технологий // Современные проблемы науки и образования. 2013. № 2. С. 388-388.
  9. Демьянов, Б.С. Современный электронный документооборот (достоинства и недостатки) / Б.С. Демьянов // Вестник Тверского государственного университета. Сер.: Управление. – 2005. – № 3 (9). С. 42-47.
  10. Довбня С.Б., Гулик Т.В. К вопросу о диагностике перспективной экономической безопасности предприятия // Крымский экономический вестник. 2013. Т. 1. № 2. С. 136-139.
  11. Ерошкин С.Ю., Михалко Е.Р. Обоснование методологии анализа инновационного потенциала и экономической безопасности промышленных предприятий // Автоматизация и современные технологии. 2011. № 09. С. 40-46.
  12. Зиновьев, П.В. К вопросу повышения защищенности существующих и перспективных автоматизированных систем электронного документооборота / П.В. Зиновьев // Вестник Воронежского государственного технического университета. – 2010. Т. 6. – № 12. – С. 174.
  13. Калугин, Е. Создание электронного государства России / Е. Калугин // Проблемы теории и практики управления: Междунар. журн/Междунар. науч.–иссл. ин–т проблем упр. – М. – 2007. – № 1. – С. 63-74.
  14. Киви Берд Конфликт криптографии и бюрократии [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 09 июля 2010 г. – Режим доступа: http://www.computerra.ru/own/kiwi/546005/.
  15. Киви Берд Паспорт в дивный новый мир [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» №16 от 28 апреля 2005 года Режим доступа: http://offline.computerra.ru/2005/588/38750/.
  16. Киви Берд Простые истины [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 07 марта 2008г. – Режим доступа: http://www.computerra.ru/think/kiwi/350683/.
  17. Климова Н.В. Ресурсообеспеченность сельского хозяйства - квинтэссенция экономической безопасности и конкурентоспособности АПК России // Национальные интересы: приоритеты и безопасность. 2012. № 28. С. 56-60.
  18. Ковалева, Н.Н. Информационное право России: учеб. Пособие / Н.Н. Ковалева. – М.: Дашков и К, 2007. – 360 с.
  19. Котлер, Ф. Основы маркетинга: Краткий курс. М., 2007. С. 327.
  20. Крупин А. Тонкости анонимного серфинга в Сети [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 17 ноября 2008г. – Режим доступа: http://www.computerra.ru/381931/?phrase_id=10718681.
  21. Лукацкий А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 28 января 2009г. – Режим доступа: http://www.computerra.ru/397075/?phrase_id=10718682.
  22. Лукацкий, А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 28 января 2009 г. – Режим доступа: http://www.computerra.ru/397075/?phrase_id=10718682.
  23. Майстрович, Т.В. Электронный документ в библиотеке: науч.–метод. Пособие / Т.В. Майстрович. – М.: Либерея–бибинформ, 2007. – 144 с.
  24. Максимович, Г.Ю. Комплексный подход к внедрению информационных технологий во все сферы документационного обеспечения управления / Г.Ю. Максимович В.И. Берестова // Секретарское дело. 2006. № 11. С. 50–56.
  25. Михалева Е.П., Алампиев А.В. Критерий обоснования управленческих решений при обеспечении экономической безопасности предприятия // Известия Тульского государственного университета. Экономические и юридические науки. 2013. № 2-1. С. 197-202. 0
  26. Навроцкая Н.А., Сопилко Н.Ю. Трансформация инвестиционно-производственного пространства как условие экономической интеграции // Вопросы региональной экономики. 2013. Т. 2. № 15. С. 63-69.
  27. Нечаев Д.Ю. Критерии и показатели экономической безопасности предприятий. Правовая и финансовая составляющие // Вестник Российского государственного торгово-экономического университета (РГТЭУ). 2010. № 2. С. 111-117.
  28. Нечта, И.В., Фионов, А.Н. Цифровые водяные знаки в программах на С/С++ / И.В. Нечта, А.Н. Фионов А.Н. // Известия Южного федерального университета. Технические науки. – 2010. – Т. 112. – № 11. С. 175.
  29. Никитина А.В. Методический инструментарий оценки уровня экономической безопасности предприятий на основе использования методов факторного анализа // Бизнес информ. 2013. № 8. С. 139-144.
  30. Показатели оценки эффективности внедрения мероприятий по улучшению условий и охраны труда на предприятиях АПК
  31. Практика сферы ИТ [Электронный ресурс]: Электронное издание от 7 апреля 2011. URL: http://ithappens.ru/story/5896.
  32. Предотвращение сетевых атак: технологии и решения [Электронный ресурс]: Электронное издание. – HackZone Ltd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5962/.

Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. – № 12. – С. 25.

  1. Соловяненко, Н. Заключение договоров с использованием электронных документов в системах электронной торговли / Н. Соловяненко // Хозяйство и право. 2005. № 3. С. 50–58.
  2. Способы авторизации [Электронный ресурс]: Электронное издание. – HackZone Ltd 07.01.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/4078/.
  3. Стародымов, А. Пелепец, М. Стираем память. Быстро, дистанционно [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 23 июля 2009г. – Режим доступа: http://www.computerra.ru/443845/?phrase_id=10718685.
  4. Теория информационной безопасности [Электронный ресурс]: Электронное издание. – HackZone Ltd 14.07.2009. – Режим доступа: http://www.hackzone.ru/articles/view/id/5961/.
  5. Федосеева, Н.Н. Сущность и проблемы электронного документооборота / Н.Н. Федосеева // Юрист: Научн.–практ. Журн / Изд. гр. «Юрист». – М. 2008. № 6 С. 61–64.

Федотов, Н.Н. Защита информации [Электронный ресурс]: Учебный курс (HTML–версия). / «ФИЗИКОН», 2001–2004. – Режим доступа: http://www.college.ru/UDP/texts/index.html#ogl.

  1. Фриман И.М. Оценка уровня устойчивости развития человеческого капитала как фактор повышения экономической безопасности промышленного предприятия // Бизнес информ. 2012. № 6. С. 219-222.
  2. «Google’s Gatekeepers» by Jeffrey Rosen // The NYT Magazine, November 28, 2008, «Googling Security: How Much Does Google Know About You?» by Gregory Conti, Addison–Wesley Professional, 2008.

Приложение 1

Шифровка с открытым ключом

Электронная цифровая подпись

Приложение 2

Анкета «Оценка обеспечения защиты электронного документа в ОАО «Газпромнефть-Урал»

Данный тест является частью исследовательской работы. Цель исследования – оценить ситуацию в области обеспечения безопасности электронного документа в ОАО «Газпромнефть-Урал». Полученные данные будут подвергнуты статанализу.

  1. Сфера деятельности вашей организации:

_______________________________________________________________________________________________________________________________________________________________________________________

  1. Организацонно-правовая форма:

__________________________________________

  1. Масштаб организации:

а) малый;

б) средний;

в) крупный.

  1. Численность сотрудников организации:

_____________________________________________________________

  1. Как Вы оцениваете уровень компьютерной безопасности в вашей организации:

а) Достаточен, но существует риск утечки информации;

б) Слишком высок (нет необходимости столь строгих ограничений);

в) недостаточен;

г) какая бы ни была защита – кто захочет, тот найдет способ ее нарушить.

6. Со стороны кого, по Вашему мнению, наиболее реальна угроза информационной безопасности:

а) со стороны работников;

б) внешние атаки.

  1. Наиболее опасные, на Ваш взгляд, угрозы внутренней информационной безопасности:

а) утечка данных;

б) искажение данных;

в) кража оборудования;

г) саботаж;

д) утрата информации;

е) сбои в работе информационных систем;

ж) hack-атаки;

з) вредоносное ПО (вирусы, черви);

и) Спам;

к) другие (указать какие)

_________________________________________________________________________________________________________________________________________________________________________________________________

  1. Наиболее подвержена утечке информация:

а) персональные данные;

б) финансовые отчеты;

в) детали конкретных сделок;

г) интеллектуальная собственность;

д) бизнес-планы;

е) другая (указать)

_________________________________________________________________________________________________________________________________________________________________________________________________

  1. Укажите наиболее действенные, на Ваш взгляд, средства защиты информации:

а) антивирус;

б) межсетевой экран;

в) контроль доступа;

г) IDS/IPS;

д) VPN;

е) шифрование данных при хранении;

ж) другое

_________________________________________________________________________________________________________________________________________________________________________________________________

  1. Планы организации по наращиванию систем информационной безопасности в ближайшие 3 года:

а) система защиты от утечек;

б) шифрование данных при хранении;

в) системы контроля идентификации и доступа;

г) ИТ-системы физической безопасности;

д) защита от внешних вторжений (IDS/IPS);

е) система резервного копирования;

ж) другое

_________________________________________________________________________________________________________________________________________________________________________________________________

11. Можете ли вы пользоваться с работы электронной почтой?

а) только корпоративной почтой (внутри организации);

б) только корпоративной почтой (в том числе переписываться с внешними абонентами);

в) почтовыми ящиками любых сайтов;

г) внутрикорпоративный ящик и внешняя почта разделены, доступ к внешней почте с отдельного рабочего места.

12. Перлюстрация электронной почты – это:

а) Нормальная практика;

б) Нарушение прав человека;

в) Бесполезное занятие.

13. Доступ в Интернет в вашей организации:

а) свободный для всех без ограничений по ресурсам;

б) свободный за исключением некоторых сайтов;

в) разрешен только руководителям и некоторым специалистам.

14. Телефонные разговоры по личным вопросам на работе:

а) запрещены и контролируются;

б) запрещены и не контролируются;

в) не ограничены.

15. Брать работу на дом:

а) невозможно;

б) обычная практика;

в) запрещено формально.

16. Лично для Вас ограничения, связанные с обеспечением информационной безопасности:

а) несущественны;

б) неприятно, но терпимо;

в) причиняют значительные неудобства, и при этом часто бессмысленны;

г) причиняют значительные неудобства, но без этого не обойтись;

д) у меня нет никаких ограничений.

  1. Калугин, Е. Создание электронного государства России / Е. Калугин // Проблемы теории и практики управления: Междунар. журн/Междунар. науч.–иссл. ин–т проблем упр. – М. – 2007. – № 1. – С. 63-74.

  2. Киви Берд Простые истины [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 07 марта 2008г. – Режим доступа: http://www.computerra.ru/think/kiwi/350683/.

  3. Ковалева, Н.Н. Информационное право России: учеб. Пособие / Н.Н. Ковалева. – М.: Дашков и К, 2007. – 360 с.

  4. Крупин А. Тонкости анонимного серфинга в Сети [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 17 ноября 2008г. – Режим доступа: http://www.computerra.ru/381931/?phrase_id=10718681.

  5. Лукацкий А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 28 января 2009г. – Режим доступа: http://www.computerra.ru/397075/?phrase_id=10718682.

  6. Майстрович, Т.В. Электронный документ в библиотеке: науч.–метод. Пособие / Т.В. Майстрович. – М.: Либерея–бибинформ, 2007. – 144 с.

  7. Максимович, Г.Ю. Комплексный подход к внедрению информационных технологий во все сферы документационного обеспечения управления / Г.Ю. Максимович В.И. Берестова // Секретарское дело. 2006. № 11. С. 50–56.

  8. Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. № 12. С. 23–26.

  9. Соловяненко, Н. Заключение договоров с использованием электронных документов в системах электронной торговли / Н. Соловяненко // Хозяйство и право. 2005. № 3. С. 50–58.

  10. Стародымов, А. Пелепец, М. Стираем память. Быстро, дистанционно [Электронный ресурс]: Электронный журнал. – опубликовано в журнале «Компьютерра» 23 июля 2009г. – Режим доступа: http://www.computerra.ru/443845/?phrase_id=10718685.

  11. Федосеева, Н.Н. Сущность и проблемы электронного документооборота / Н.Н. Федосеева // Юрист: Научн.–практ. Журн / Изд. гр. «Юрист». – М. 2008. № 6 С. 61–64.

  12. Федотов, Н.Н. Защита информации [Электронный ресурс]: Учебный курс (HTML–версия). / «ФИЗИКОН», 2001–2004. – Режим доступа: http://www.college.ru/UDP/texts/index.html#ogl.

  13. «Google’s Gatekeepers» by Jeffrey Rosen // The NYT Magazine, November 28, 2008, «Googling Security: How Much Does Google Know About You?» by Gregory Conti, Addison–Wesley Professional, 2008.

  14. ИСО/МЭК 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования // ИСО/МЭК 27001. Информационные технологии. Методы защиты. – С. 20.

  15. ИСО/МЭК 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования // ИСО/МЭК 27001. Информационные технологии. Методы защиты. – С. 20.

  16. ИСО/МЭК 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования // ИСО/МЭК 27001. Информационные технологии. Методы защиты. – С. 21.