Система защиты коммерческой тайны малого коммерческого предприятия(ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ)
Содержание:
ВВЕДЕНИЕ
Коммерческие данные государственных предприятий, несомненно, обладают как высокой значимостью, так и экономической ценностью. Утрата или утечка коммерческих данных может привести к серьезным финансовым потерям. Для государственных предприятий, особенно стратегического назначения, цена этого вопроса особенно велика. Поэтому одной из основных задач для предприятий государственного сектора является создание надежной системы защиты информации.
Для того чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить множество отдельных криптографических, программно-аппаратных и инженерно-технических средств защиты в систему. Важно отметить, что ключевым и потенциально самым слабым элементом этой системы является человек. Поэтому для обеспечения мер защиты коммерческой информации решающую роль играют организационные мероприятия. Выполнение мероприятий по защите коммерческой тайны не должны приводить к усложнению процесса производства, однако они должны обеспечить защиту от всех реальных угроз.
Целью курсовой работы является анализ комплексный подход к организации защиты информации на государственном предприятии. Рассматриваются концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты. Представлена архитектура, этапы построения, принципы управления комплексной системой защиты информации.
В первой главе рассматриваются общие вопросы системы защиты информации с точки зрения системного подхода. Во второй главе рассмотрены организационные моменты обеспечения информационной безопасности государственного предприятия.
Для написания работы использовались законы Российской федерации в области информационной безопасности, теоретическая литература, а также практическое руководство по обеспечению режима на предприятии.
ГЛАВА 1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ
1.1 Понятие системы защиты коммерческой тайны.
Коммерческая тайна — это режим конфиденциальности данных, который позволяет её обладателю увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Также под коммерческой тайной подразумевается сама информация, которая имеет коммерческую ценность в силу неизвестности её третьим лицам. Эта информация может быть научно-технической, технологической, производственной, финансово-экономической или иной информацией, в том числе составляющей секреты производства, к которой нет открытого доступа и в отношении которой обладателем такой информации введён режим коммерческой тайны. Под режимом конфиденциальности информации понимается организация особых мер по защите информации.
Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия. Основным объектом защиты является информация, которая обрабатывается в автоматизированной системе управления или используется при реализации процессов планирования деятельности[1].
Угрозы для безопасности информации связаны с похищением данных, использованием программного обеспечения, не прошедшего аттестацию, атаками хакеров, а также халатностью или злым умыслом сотрудников.
К принципам построения комплексной системы защиты информации относятся:
- принцип законности;
- принцип полноты защищаемой информации;
- принцип обоснованности системы защиты информации;
- принцип создания специализированных подразделений по защите информации;
- принцип участия в мероприятиях защиты всех доверенных лиц;
- принцип персональной ответственности;
- принцип использования всех необходимых способов для организации мероприятий по защите информации;
- принцип превентивности принимаемых мер по защите информации;
Принцип законности заключается в соответствии принимаемых мер законодательству Российской Федерации о защите информации, а также другим нормативным документам по защите.
Принцип полноты защищаемой информации говорит о том, что защищается не только информация, составляющая коммерческую тайну, но и несекретные данные, потеря которых может привести к принесению вреда ее владельцу.
Принцип обоснованности защиты информации заключается в оценке целесообразности защиты информации, вероятных последствий и расходов по обеспечению защиты, чтобы не помешать основной деятельности. Это позволяет расходовать средства на защиту только той информации, раскрытие которой может нанести действительный ущерб предприятию.
Принцип участия в защите информации всех доверенных лиц устанавливает положение, согласно которому защита информации является обязанностью каждого лица, имеющего по роду выполняемой работы доступ к конфиденциальным данным.
Принцип создания специализированных подразделений по защите информации расширяет штат предприятия подразделениями по обеспечению комплексной защиты, поскольку только специализированные и профессиональные службы способны правильно разрабатывать и обеспечивать меры по обеспечению безопасности и осуществлять контроль за их выполнением.
Принцип персональной ответственности заключается в том, что каждое лицо персонально отвечает за сохранность вверенной ему информации, а за утрату или разглашение конфиденциальных данных оно несет уголовную, административную или иную ответственность.
Принцип наличия и использования всех доступных способов для защиты заключается в том, что комплексная система защиты информации требует как участия в ней руководства государственного предприятия и специальной службы защиты информации, так и всех исполнителей, работающих с конфиденциальными данными. Дополнительно регламентируется использование различных организационных форм и методов защиты информации, а также организуется подготовка необходимых материально-технических ресурсов.
Принцип превентивности принимаемых мер по защите информации предполагает опережающее принятие мер по защите конфиденциальных данных еще до начала работы с ними. Собственно этот принцип и регламентирует разработки информационных технологий по защите коммерческой тайны.
При построении комплексной системы защиты информации важно использовать вышеприведенные принципы в совокупности, не пренебрегая ни одним из них.
1.2 Стратегия защиты информации
Под стратегией понимается глобальное направление в организации какой-либо деятельности, которое разрабатывается с учетом существующих потребностей в данном виде деятельности, потенциально возможных путей ее осуществления и возможностей организации.
Стратегия включает в себя следующие элементы:
- План. Это заранее намеченные и контролируемые в последующем действия, выполняемые в определенный срок, реализация которых преследующие конкретные цели;
- Прием. Это промежуточный тактический ход, имеющий ограниченные цели, которые могут изменяться.
- Модель поведения.
- Позиция по отношению к другим.
- Перспектива.
Задача стратегии состоит в достижении конкурентного преимущества, обеспечении доходности, а также достижения компромисса между внешними требованиями и внутренними возможностями. Действия предприятия в любой сложившейся производственной ситуации анализируются и разрешаются через призму разработанной стратегии.
Факторы, которые могут иметь для предприятия решающее значение в будущем, называются стратегическими. Эти факторы явным образом входят в состав коммерческой тайны и подлежат защите:
- Миссия, отражающая философию и предназначение предприятия.
- Конкурентные преимущества.
- Характер выпускаемой продукции, особенности ее сбыта, послепродажного обслуживания, рынки и их границы.
- Организационные факторы, система управления предприятием;
- Располагаемые ресурсы.
- Потенциал совершенствования деятельности, расширения масштабов, роста деловой активности, инноваций;
- Культура, философия, этические воззрения и компетентность управленцев, уровень их притязаний и предприимчивости, способность к лидерству, внутренний климат в коллективе.
Стратегические решения являются, как правило, организационными или предписывающими способ осуществления действий в различных ситуациях. Организационные решения кардинальны. Они касаются основных направлений деятельности государственной организации, определяют пути ее развития на длительную перспективу. Практическая необратимость стратегических решений обусловливает необходимость их тщательной и всесторонней подготовки. Стратегическим организационным решениям присуща комплексность. Это совокупность решений, связанных общей целью, согласованных между собой по срокам и ресурсам.
Существуют следующие требования к стратегическим решениям:
- Реальность, предполагающая соответствие стратегии целям, техническому и экономическому потенциалу предприятия, существующей системе управления;
- Логичность, понятность для большинства членов организации, непротиворечивость отдельных элементов;
- Своевременность;
- Совместимость со средой функционирования, обеспечивающая возможность взаимодействия с ней;
- Направленность на формирование конкурентных преимуществ
- Сохранение свободы тактического маневра;
- Устранение причин, а не следствий существующей проблемы;
- Четкое распределение по уровням организации работы по подготовке и принятию решений, а также ответственности за них конкретных лиц;
- Учет скрытых и явных, желательных и нежелательных последствий, которые могут возникнуть при реализации стратегии или отказе от нее для предприятия, его партнеров; от существующего законодательства, этической стороны дела, допустимого уровня риска и пр.
Исходя из постановки задачи защиты коммерческой тайны, ее решение заключается в планировании множества стратегий защиты, и выбор такого минимального их набора, который бы рационально и эффективно обеспечил бы требуемую защиту в любых условиях функционирования государственного предприятия.
В соответствии с наиболее распространенными на практике вариантами сочетания значений рассмотренных факторов выделяются три стратегии защиты:
- оборонительная — защита от априорно известных угроз и осуществляемая автономно, не влияя на информационно-управляющую систему и производственную систему предприятия;
- наступательная — защита от всего множества потенциально возможных угроз, возможно, заранее неизвестных, при реализации которой в архитектуре информационно-управляющей и производственной систем предприятия должны учитываться условия, созданные наличием системы защиты конфиденциальных данных;
- упреждающая — создание информационной среды в которой угрозы информации не имели бы условий для проявления.
1.3 Политика безопасности
Политикой безопасности является набор правил и рекомендаций, на основе которых строится защита и распределение конфиденциальной информации в системе[2]. Политика безопасности описывает ключевые моменты процесса обработки информации, определяя поведение системы в каждой из составляющих процесса обработки данных. Она реализуется как при помощи организационных мер, так и с применением программно-технических средств. Все это определяет архитектуру системы защиты коммерческой тайны. Для каждой конкретной организации политика безопасности разрабатывается индивидуально, в зависимости от способов обработки информации, а также используемых программных и технических средств.
Организационно политика безопасности декларирует права доступа сотрудников государственной организации по обработке, просмотру, редактированию и удалению конфиденциальных данных, а также требования отчетности пользователей по аспектам обеспечения безопасности.
Этапы построения организационной политики безопасности — это декларирование совместно с описанием объекта его структуры ценностей и проведение анализа риска искажения, утраты или разглашения информации, и определение регламента процесса доступа к ресурсам данного объекта. На начальном этапе формируется подробное описание цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе. Факторы безопасности разделяются на технологические, правовые, технические и организационные.
Разработка политики безопасности государственного предприятия, как формальной, так и неформальной, — безусловно, непростая задача. Эксперт должен не только владеть соответствующими стандартами безопасности информации и хорошо разбираться в комплексных подходах к обеспечению защиты информации организации, но и проявлять детективные способности при выявлении особенностей построения информационной системы и существующих мер по организации защиты информации. В общем случае можно выделить следующие процессы, связанные с разработкой и реализацией политики безопасности.
1. Комплекс мероприятий по анализу рисков нарушения безопасности конфиденциальных данных. К этой группе можно отнести:
- моделирование угроз информации системы;
- учет материальных или информационных ценностей;
- собственно анализ рисков с использованием того или иного подхода.
2. Мероприятия по оценке соответствия мер по обеспечению защиты данных предприятия эталонному образцу или законодательному акту.
3. Действия, связанные с разработкой документов, в частности отчетов, диаграмм, профилей защиты.
4. Действия, связанные со сбором, хранением и обработкой статистики по событиям безопасности для организации;
Основу политики безопасности составляет метод управления доступом к сведениям, составляющих коммерческую тайну, определяющий порядок доступа пользователей системы к объектам системы.
Для изучения свойств метода управления доступом пользователей, создается его формальное описание — математическая модель. Она должна описывать состояние всей системы в целом, а также учитывать, какие состояния системы и переходы между ними можно считать безопасными. Без построения модели говорить о свойствах защищенности информации в системе, и тем более гарантировать их, не представляется возможным.
В настоящее время наиболее распространенными вариантами организации политики безопасности в организации являются следующие варианты: избирательная и полномочная, основанные, соответственно, на избирательном и полномочном способах управления доступом сотрудников к конфиденциальным данным.
Основой избирательной политики безопасности является избирательное управление доступом, которое заключается в следующих положениях:
- все субъекты и объекты системы должны быть идентифицированы;
- права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).
Для описания свойств избирательного управления доступом применяется модель системы c матрицей контроля доступа. Матрица представляет собой прямоугольную таблицу, в которой объекту системы соответствует строка, а сотруднику – столбец. На пересечении столбца и строки матрицы указывается тип доступа, который разрешен пользователю на объекте. Обычно выделяют такие типы доступа, как «доступ на чтение», «доступ на запись», «доступ на исполнение». Решение на доступ сотрудника к объекту принимается согласно типу доступа, указанного в соответствующей ячейке таблицы. Избирательное управление использует принцип «что не разрешено, то запрещено», который диктует явное разрешение доступа пользователя к объекту.
Избирательная политика безопасности нашла свое широкое применение в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций, а также имеет малую стоимость в установке и обслуживании.
Основу полномочной политики безопасности составляет полномочное управление доступом к конфиденциальным данным, которое подразумевает следующие положения:
— все субъекты и объекты системы должны быть однозначно идентифицированы;
— каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в нем информации;
— каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.
Когда совокупность присвоенных меток имеет равные значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру, и, таким образом, в системе можно реализовать иерархически восходящий поток информации (например, от рядовых исполнителей к руководству). Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.
Каждый пользователь кроме уровня прозрачности имеет текущее значение степени безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.
Основное назначение полномочной политики безопасности — регулирование доступа пользователей системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии в нижние, а также блокирование возможного проникновения с нижних уровней в верхние[3].
Выводы: построение системы защиты является системной задачей и требует системного подхода для ее выполнения. Организация системы защиты включает в себя выбор стратегии защиты, политики безопасности, планирование, обеспечение и контроль мероприятий по защите конфиденциальной информации.
ГЛАВА 2 Организация защита коммерческой тайны
2.1 Политика предприятия в области информационной безопасности
Процесс создания системы защиты информации на государственном предприятии можно разделить на три этапа:
- формирование политики предприятия в области информационной безопасности;
- выбор и внедрение технических и программных средств защиты;
- разработка и проведение ряда организационных мероприятий.
При этом следует учитывать государственные нормативные документы и стандарты, которые регулируют вопросы информационной безопасности на предприятиях государственного сектора комплекса.
Основой для формирования системы защиты информации является документ, в котором регламентируются принципы и основные положения политики безопасности предприятия в области информационной безопасности. В нем отражаются следующие вопросы:
1. Разработка правового обеспечения защиты коммерческой тайны. В данном аспекте разрабатываются нормативно-правовые документы, актуальные для деятельности государственного предприятия. С их помощью формируются правила соблюдения мер информационной безопасности, что регламентируется должностными обязанностями, и устанавливается ответственность за нарушение правил обеспечения конфиденциальности. В состав правового обеспечения входят государственные законы и акты, а также внутренние организационные документы предприятия.
2. Определение потенциальных угроз безопасности конфиденциальных данных. Угрозы разделяются на три группы:
- угрозы, возникающие вследствие действий человека — это могут быть как случайные ошибки сотрудников (неправильный ввод информации или ее удаление), так и предумышленные преступные действия (кража конфиденциальных данных);
- угрозы, возникающие вследствие некорректной работы оборудования (сбои, вызванные вирусами);
- угрозы, возникающие из-за стихийных бедствий и форс-мажорных обстоятельств.
3. Составление списка информационных элементов системы, подлежащих защите. Данные, которые используется в организации, могут быть открытыми или закрытыми, то есть доступными для ограниченного круга лиц. К первому типу относятся сведения, которые не составляют государственной или коммерческой тайны, и согласно внутренним документам не относятся к категории конфиденциальной информации. Негативный эффект от потери таких данных не является значительным, поэтому их защита не является приоритетным направлением работы по соблюдению мер обеспечения информационной безопасности.
Ко второму типу относятся:
- информация, являющаяся государственной тайной, их перечень определяется законодательством;
- служебные сведения, любые данные, связанные с производством, финансами, искажение или разглашение которых может нанести значительный ущерб интересам предприятия;
- персональные данные сотрудников организации.
Эти данные защищаются в первую очередь. Регламентируется места обработки этой информации, а также права доступа сотрудников.
4. Создание подразделения, ответственного за организацию мер по обеспечению информационной безопасности. Как правило, на государственных предприятиях существует разделение функций, связанных с обеспечением режима. Так, за разработку политики безопасности и за организацию мер обеспечения конфиденциальности отвечает служба безопасности предприятия, а вопросы, связанные с применением средств обработки информации, решаются подразделением по информационным технологиям. Часто возникает такая ситуация, когда реализация надежной защиты конфиденциальных данных вступает в противоречие с организацией основной производственной функции государственного предприятия. В настоящее время распространена практика введения запрета пользования сотрудниками предприятия к рабочей электронной почте их внешней среды, что полностью позволяет устранить утечки информации. В результате этого стали происходить накладки и срывы сроков при выполнении бизнес-процессов: персонал не могли оперативно принимать необходимые решения, если они находились не в офисе предприятия. Участие в разработке данного решения сотрудников подразделения по информационным технологиям позволило бы избежать этой проблемы: доступ к рабочей почте был бы сохранен, а конфиденциальность обеспечивалась бы за счет применения дополнительных программных средств, таких как использование виртуальных частных сетей.
Поэтому хорошей практикой является создание единого центра принятия решений, а именно создание подразделения, задачей которого является решение организационных и технических вопросов по защите конфиденциальных данных на предприятии. В его состав необходимо включаются как сотрудники службы безопасности, так и специалисты по информационным технологиям.
5. Определение основных направлений обеспечения информационной безопасности. В рамках решения этой задачи регламентируются компоненты автоматизированной системы управления, которые нуждаются в защите, определяются необходимые программные и технические средства для обеспечения защиты и разрабатываются организационные меры, направленные на защиту информации.
2.2 Программные и технические средства защиты автоматизированной системы управления
Основным аспектом организации обеспечения информационной безопасности предприятия является защита ее автоматизированной системы управления (структура приведена на рис. 1), реализуемая на базе программных и технических средств.
Сложность решения этой задачи обуславливается двумя факторами. Во-первых, доступ к ресурсам имеет достаточно большое количество сотрудников, которые могут находиться в нескольких территориально-распределенных подразделениях. Во-вторых, функционирование системы обеспечивается взаимодействием целого ряда программных и аппаратных компонентов.
Рис. 1 Типовая структура управления предприятием
С точки зрения применения технических и программных средств защита конфиденциальных данных в системе управления реализуется в трех аспектах:
- непосредственная защита информации;
- обеспечение сохранности информации при форс-мажорных обстоятельствах;
- устранение возможности несанкционированного доступа конфиденциальным данным.
Для защиты данных применяют криптографические технологии: шифрование и электронную цифровую подпись, что позволяет добиться конфиденциальности и нерушимости информации, а также ее однозначной аутентификации. При этом средства шифрования обеспечивают защиту информации даже в случае ее хищения.
Сохранение данных при форс-мажорных обстоятельствах обеспечивается с помощью стандартных мер. Для устранения последствий потери данных при таких происшествиях применяются средства резервного копирования.
Наиболее сложной задачей является обеспечение мер по предотвращению несанкционированного доступа к информации в системе управления предприятием. Ее решение разбивается на несколько подзадач:
- обеспечение защиты персональных компьютеров;
- обеспечение защиты и бесперебойной работы серверов;
- обеспечение защиты и бесперебойной работы сетевых соединений.
Защита персональных компьютеров подразумевает предотвращение случаев запуска системы пользователями, у которых нет соответствующих прав. Доступ к системе выполняется в строгой привязке к конкретным рабочим местам сотрудников и их должностным обязанностям. Для этого применяются различные средства, которые входят в состав использующегося программного обеспечения или являются дополнительными компонентами. Один из способов подобной защиты — это идентификация пользователей, которая проводится несколькими способами. К числу наиболее распространенных относится метод парольной идентификации. Она выполняется как с помощью стандартных средств, так и с помощью внешнего оборудования. Это могут быть, например, аппаратные модули доверенной загрузки — «электронные замки». Назначение подобных устройств – это идентификации сотрудника и проверка целостности программного обеспечения. Если на компьютере работает только один сотрудник, то данных средств достаточно для обеспечения надежной защиты конфиденциальных данных. Однако, при работе на одном персональном компьютере нескольких пользователей, кроме задачи идентификации, необходимо решить вопрос разделения их полномочий и прав доступа к тем или иным данных, размещенных на данной вычислительной машине. Для этих целей используются специальные программы защиты, которые запускается при старте операционной системы. Она полностью контролирует действия сотрудников по запуску приложений и обращения к данным. Все производимые операции фиксируются в журнале, доступ к которому имеет только сотрудник, ответственный за обеспечение режима информационной безопасности. Идентификация сотрудников может вестись не только с помощью паролей, но и на основе биометрических средств. В этом случае в качестве идентификаторов применяются отпечатки ладони или пальцев сотрудника, а также рисунок радужной оболочки глаза. В качестве идентификации часто применяются смарт-карты, выдаваемые индивидуально каждому сотруднику предприятия.
Защита серверов также реализуется на базе средств идентификации сотрудников и разграничении прав доступа. Использование системы протоколирования позволяет фиксировать все действия сотрудников, связанные с обращением к серверу, которые затем анализируются для выявления ситуаций, представляющих угрозу информационной безопасности.
Защита сетевых соединений реализуется с помощью аутентификации персональных компьютеров и серверов, основанной на применении цифровой подписи, шифрования и использования виртуальных частных сетей для обмена данными. Для обеспечения контроля над потоками данных между сегментами корпоративной сети предприятия и внешней средой используется технология межсетевого экранирования. Межсетевые экраны — это программно-аппаратные средства, которые производят мониторинг информации, поступающей из внешней среды, и анализируют их на предмет возможной угрозы для внутренней сети предприятия.
Компромиссы выбора технологий защиты и конкретных программно-аппаратных средств решаются на основе анализа свойств автоматизированной системы управления предприятием и ее структуры. Минимальные необходимые требования к составу и функциям средств защиты сформулированы в нормативных документах Федеральной службы по техническому и экспортному контролю России.
2.3 Нормативные требования к автоматизированной системе управления в области защиты информации
В рамках защиты коммерческой тайны используется пять классов автоматизированных систем обработки данных, с помощью которых может одновременно обрабатываться или храниться информация различных уровней конфиденциальности. При этом доступ к информации должен различаться в зависимости от категории сотрудников и их прав доступа. По отношению к каждому классу таких систем должны соблюдаться назначенные стандарты и правила обеспечения безопасности.
Системы классов 1А, 1Б и 1В применяют в органах власти, ведомственных структурах, на предприятиях оборонно-промышленного комплекса. Применимо к ним состав средств защиты и их реализация контролируется специальными организациями (ФСТЭК, ФСБ).
Системы, которые используются в крупных коммерческих компаниях, имеющих государственное значение (например, ОАО «Газпром», НК «Роснефть»), относятся к классу 1Г. Контроль защиты информации должен осуществляться собственной службой безопасности предприятия, но в соответствии с рекомендациями ФСТЭК, ФСБ.
В остальных компаниях применяются системы класса 1Д. К ним предъявляются значительно более низкие требования к обеспечению защиты данных и как правило полностью отсутствует контроль со стороны государственных ведомств.
2.4 Организационные мероприятия по защите информации
Использование новейших программных и аппаратных средств является существенным элементом в обеспечении безопасности. Однако для обеспечения надежности функционирования система защиты конфиденциальных данных необходимо выполнять ряд организационных мероприятий.
Организационные мероприятия, связанные с защитой информации включают в себя:
- разработку инструкций по соблюдению мер обеспечения безопасности для сотрудников;
- организацию охраны помещений и обеспечение пропускного режима;
- ограничение доступа в помещения, где располагаются серверы автоматизированной системы управления предприятием;
- хранение носителей информации и документации в опечатанных сейфах;
- установку мониторов компьютеров, клавиатуры, принтеров таким образом, чтобы исключить возможность просмотра или копирования информации посторонними лицами;
- ликвидацию ненужных использованных носителей информации и документов;
- уничтожение всей информации на жестких дисках компьютеров, где были установлены компоненты системы, перед их отправкой в ремонт;
- проведение регулярных проверок по соблюдению всех правил, положений и инструкций, связанных с обеспечением информационной безопасности.
Для минимизации рисков, связанных с несанкционированным доступом на предприятие или в его отдельные подразделения, может использоваться метод создания рубежей защиты. Это подразумевает, что территория предприятия разбивается на несколько зон, ранжированных по степени закрытости для сотрудников или посетителей. В результате возникает возможность для разграничения доступа к наиболее важным информационным ресурсам предприятия. Тем самым обеспечивается их максимальная защита.
2.5 Эффективность защиты
Один из важных вопросов создания системы защиты информации — это стоимость всего проекта. Необходимые затраты можно разделить на прямые и косвенные.
Прямые затраты — это:
- стоимость программного и аппаратного обеспечения, необходимого для защиты данных в автоматизированной системе управления;
- стоимость внедрения средств защиты (для этого может потребоваться перенастройка использующегося программного обеспечения и оборудования, прокладка дополнительной кабельной сети и т.д.);
- стоимость поддержки внедренных средств, обучения специалистов;
- стоимость дополнительных технических средств (например, систем бесперебойного питания, систем для организации пропускного режима);
- стоимость управления системой защиты информации (например, заработная плата сотрудникам подразделения, занимающегося вопросами информационной безопасности, оборудование рабочих мест и т.д.);
- стоимость последующей модернизации программно-аппаратного обеспечения и других технических средств.
К косвенным затратам относятся потери предприятия, возникающие в результате сбоя или простоев в работе автоматизированной системы управления. Это может являться, например, следствием неправильного выбора, установки или настройки средств защиты информации.
Главный результат создания надежной системы защиты информации заключается в отсутствии потерь. Без использования системы значительно возрастает риск утечки или утраты информации. К числу наиболее неприятных последствий подобных инцидентов компании относятся прямые финансовые убытки, удар по репутации, потерю клиентов, снижение конкурентоспособности (рис. 2). Тем самым обеспечение информационной безопасности компании имеет вполне конкретный экономический смысл.
Рис. 2 Потери предприятия в результате отсутствия средств защиты информации
Разработка системы защиты позволяет комплексно подойти к решению вопросов информационной безопасности предприятия. За счет применения программных и аппаратных средств, выполнения организационных мероприятий обеспечивается сохранность данных, которые обрабатываются в автоматизированной системе управления, и минимизируются риски потери информации.
Выводы:
В главе рассмотрены организационные моменты обеспечения системы защиты конфиденциальных данных. Проведен анализ нормативных документов, технических и экономических составляющих процесса организации защиты коммерческой тайны.
ЗАКЛЮЧЕНИЕ
Деятельность государственных предприятий напрямую связана с получением и использованием различного рода данных. Причем в современных условиях эти данные часто составляют коммерческую тайну. Разглашение таких данных создает угрозы безопасности деятельности предприятия, что ставит вопрос о необходимости разработки и организации системы безопасности на предприятии.
В курсовой работе был проведен анализ подходов к организации защиты коммерческой тайны на государственных предприятиях. Рассматривается комплексный подход к решению проблемы обеспечения мер по защите информации. Показаны концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты конфиденциальных данных на государственном предприятии.
Начинать работу по организации системы защиты информации необходимо с выявления информационных ресурсов предприятия, подлежащих защите. Затем провести оценку возможного ущерба от утечки данных, подлежащих защите, и классифицировать информацию по степеням важности. Затем определить все виды носителей информации, требующих защиты и возможные угрозы. Учитывая именно эти (и еще ряд других) факторы, необходимо определить состав разрабатываемой системы.
Система защиты информации представляет собой действующие в единой совокупности законодательные, организационные, технические и другие меры, обеспечивающие защиту информации. Связующим звеном в этой системе является организационный орган, который может быть представлен как подразделением, осуществляющим руководство, так и одним сотрудником, отвечающим за эту деятельность.
И наконец, никакую систему защиты нельзя считать абсолютно надежной, поэтому необходимо осуществлять постоянный мониторинг и развитие функционирующей на предприятии системы защиты информации.
СПИСОК ЛИТЕРАТУРЫ
- Раевский Г.В. «Угрозы экономической безопасности предприятия и задачи службы безопасности по их нейтрализации», журнал «Частный сыск» №4, М.: Ось, 2016. 115c.
- Лапуста М.Г. «Справочник директора предприятия», М.: «ИНФРА-М», 2015. 185с.
- Северин В.А. Правовая защита информации в коммерческих организациях. Учебное пособие для студентов высших учебных заведений.- 2015.224c. ISBN: 978-5-7695-5563-3.
- Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации: Учебное пособие. М.: ФОРУМ, 2015. С. 32.
- Попов С. А. Актуальный стратегический менеджмент: Учебно-практич. пособие. М.: Юрайт, 2016. 448 с.
- Закон РФ «О коммерческой тайне» № 98-ФЗ от 29 июля 2004 г.
- Закон РФ «Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27 июля 2006 г.
-
Гришина Н.В. Организация комплексной системы защиты информации М.: Гелиос АРВ, 2017. — с.17 ↑
-
Гришина Н.В. Организация комплексной системы защиты информации М.: Гелиос АРВ, 2017. — с.31 ↑
-
Гришина Н.В. Организация комплексной системы защиты информации М.: Гелиос АРВ, 2007. — с.75 ↑
- Организация рекламной деятельности в организации (Теоретические основы управления рекламной деятельностью в современной организации)
- Анализ конкурентов на рынке и определение собственной конкурентоспособности (на примере ООО «Агроторг»)
- Социально-экономические последствия инфляции (Теоретические особенности социально-экономических последствий инфляции)
- Необходимость и функции денег. Роль денег в рыночной экономике
- Доходы и расходы местных бюджетов (Экономические основы расходов местных бюджетов в Российской Федерации)
- Бухгалтерская отчетность и учетная политика организации
- Перспективы развития персональных компьютеров
- Показатели эффективности организационной структуры (Теоретические аспекты организационной структуры предприятия)
- Общая характеристика основных современных правовых семей(Правовая система и правовая семья)
- Формы социальной защиты населения (Международная практика становления организационно-правовых форм социальной защиты населения)
- Теоретические аспекты архитектуры ПК
- Проектирование реализации операций бизнес-процесса «Ежедневный складской учет» (Выбор комплекса задач автоматизации)