Особенности организационной защиты коммерческой тайны на государственных предприятиях

Заключение
Деятельность государственных предприятий напрямую связана с получением и использованием различного рода данных. Причем в современных условиях эти данные часто составляют коммерческую тайну. Разглашение таких данных создает угрозы безопасности деятельности предприятия, что ставит вопрос о необходимости разработки и организации системы безопасности на предприятии.
В курсовой работе был проведен анализ подходов к организации защиты коммерческой тайны на государственных предприятиях. Рассматривается комплексный подход к решению проблемы обеспечения мер по защите информации. Показаны концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты конфиденциальных данных на государственном предприятии.
Начинать работу по организации системы защиты и ...

СОДЕРЖАНИЕ

Введение 3
1. Сущность и задачи комплексной защиты информации. 5
1.1. Понятие системы защиты коммерческой тайны. 5
1.2. Принципы комплексной защиты коммерческой тайны 5
1.3. Стратегия защиты информации 8
1.4. Политика безопасности 11
2. Организационная защита коммерческой тайны. 16
2.1. Политика предприятия в области информационной безопасности 16
2.2. Программные и технические средства защиты автоматизированной системы управления 19
2.3. Нормативные требования к автоматизированной системе управления в области защиты информации 22
2.4. Организационные мероприятия по защите информации 23
2.5. Информационная безопасность: цена вопроса и эффективность 24
Заключение 27
Список используемой литературы 28

Введение
Коммерческие данные государственных предприятий, несомненно, обладают как высокой значимостью, так и экономической ценностью. Утрата или утечка коммерческих данных может привести к серьезным финансовым потерям. Для государственных предприятий, особенно стратегического назначения, цена этого вопроса особенно велика. Поэтому одной из основных задач для предприятий государственного сектора является создание надежной системы защиты информации.
Для того чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить множество отдельных криптографических, программно-аппаратных и инженерно-технических средств защиты в систему. Важно отметить, что ключевым и потенциально самым слабым элементом этой системы является человек. Поэтому для обеспечения мер защиты комм ерческой информации решающую роль играют организационные мероприятия. Выполнение мероприятий по защите коммерческой тайны не должны приводить к усложнению процесса производства, однако они должны обеспечить защиту от всех реальных угроз.
Целью курсовой работы является анализ комплексный подход к организации защиты информации на государственном предприятии. Рассматриваются концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты. Представлена архитектура, этапы построения, принципы управления комплексной системой защиты информации.
В первой главе рассматриваются общие вопросы системы защиты информации с точки зрения системного подхода. Во второй главе рассмотрены организационные моменты обеспечения информационной безопасности государственного предприятия.
Для написания работы использовались законы Российской федерации в области информационной безопасности, теоретическая литература, а также практическое руководство по обеспечению режима на предприятии.
 

В соответствии с наиболее распространенными на практике вариантами сочетания значений рассмотренных факторов выделяются три стратегии защиты:оборонительная — защита от априорно известных угроз и осуществляемая автономно, не влияя на информационно-управляющую систему и производственную систему предприятия;наступательная — защита от всего множества потенциально возможных угроз, возможно, заранее неизвестных, при реализации которой в архитектуре информационно-управляющей и производственной систем предприятия должны учитываться условия, созданные наличием системы защиты конфиденциальных данных;упреждающая — создание информационной среды в которой угрозы информации не имели бы условий для проявления.Политика безопасностиПолитикой безопасности является набор правил и рекомендаций, на основе которых строится защита и распределение конфиденциальной информации в системе. Политика безопасности описывает ключевые моменты процесса обработки информации, определяя поведение системы в каждой из составляющих процесса обработки данных. Она реализуется как при помощи организационных мер, так и с применением программно-технических средств. Все это определяет архитектуру системы защиты коммерческой тайны. Для каждой конкретной организации политика безопасности разрабатывается индивидуально, в зависимости от способов обработки информации, а также используемых программных и технических средств.Организационно политика безопасности декларирует права доступа сотрудников государственной организации по обработке, просмотру, редактированию и удалению конфиденциальных данных, а также требования отчетности пользователей по аспектам обеспечения безопасности. Этапы построения организационной политики безопасности — это декларирование совместно с описанием объекта его структуры ценностей и проведение анализа риска искажения, утраты или разглашения информации, и определение регламента процесса доступа к ресурсам данного объекта. На начальном этапе формируется подробное описание цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе. Факторы безопасности разделяются на технологические, правовые, технические и организационные.Разработка политики безопасности государственного предприятия, как формальной, так и неформальной, — безусловно, непростая задача. Эксперт должен не только владеть соответствующими стандартами безопасности информации и хорошо разбираться в комплексных подходах к обеспечению защиты информации организации, но и проявлять детективные способности при выявлении особенностей построения информационной системы и существующих мер по организации защиты информации. В общем случае можно выделить следующие процессы, связанные с разработкой и реализацией политики безопасности.1. Комплекс мероприятий по анализу рисков нарушения безопасности конфиденциальных данных. К этой группе можно отнести:моделирование угроз информации системы;учет материальных или информационных ценностей;собственно анализ рисков с использованием того или иного подхода.2. Мероприятия по оценке соответствия мер по обеспечению защиты данных предприятия эталонному образцу или законодательному акту.3. Действия, связанные с разработкой документов, в частности отчетов, диаграмм, профилей защиты.4. Действия, связанные со сбором, хранением и обработкой статистики по событиям безопасности для организации;Основу политики безопасности составляет метод управления доступом к сведениям, составляющих коммерческую тайну, определяющий порядок доступа пользователей системы к объектам системы. Для изучения свойств метода управления доступом пользователей, создается его формальное описание — математическая модель. Она должна описывать состояние всей системы в целом, а также учитывать, какие состояния системы и переходы между ними можно считать безопасными. Без построения модели говорить о свойствах защищенности информации в системе, и тем более гарантировать их, не представляется возможным. В настоящее время наиболее распространенными вариантами организации политики безопасности в организации являются следующие варианты: избирательная и полномочная, основанные, соответственно, на избирательном и полномочном способах управления доступом сотрудников к конфиденциальным данным.Основой избирательной политики безопасности является избирательное управление доступом, которое заключается в следующих положениях:все субъекты и объекты системы должны быть идентифицированы;права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).Для описания свойств избирательного управления доступом применяется модель системы c матрицей контроля доступа. Матрица представляет собой прямоугольную таблицу, в которой объекту системы соответствует строка, а сотруднику – столбец. На пересечении столбца и строки матрицы указывается тип доступа, который разрешен пользователю на объекте. Обычно выделяют такие типы доступа, как «доступ на чтение», «доступ на запись», «доступ на исполнение». Решение на доступ сотрудника к объекту принимается согласно типу доступа, указанного в соответствующей ячейке таблицы. Избирательное управление использует принцип «что не разрешено, то запрещено», который диктует явное разрешение доступа пользователя к объекту.Избирательная политика безопасности нашла свое широкое применение в коммерческом секторе, так как ее реализация на практике отвечает требованиям коммерческих организаций, а также имеет малую стоимость в установке и обслуживании.Основу полномочной политики безопасности составляет полномочное управление доступом к конфиденциальным данным, которое подразумевает следующие положения:— все субъекты и объекты системы должны быть однозначно идентифицированы;— каждому объекту системы присвоена метка критичности, определяющая ценность содержащейся в нем информации;— каждому субъекту системы присвоен уровень прозрачности, определяющий максимальное значение метки критичности объектов, к которым субъект имеет доступ.Когда совокупность присвоенных меток имеет равные значения, говорят, что они принадлежат к одному уровню безопасности. Организация меток имеет иерархическую структуру, и, таким образом, в системе можно реализовать иерархически восходящий поток информации (например, от рядовых исполнителей к руководству). Чем важнее объект или субъект, тем выше его метка критичности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки критичности.Каждый пользователь кроме уровня прозрачности имеет текущее значение степени безопасности, которое может изменяться от некоторого минимального значения до значения его уровня прозрачности.Основное назначение полномочной политики безопасности — регулирование доступа пользователей системы к объектам с различным уровнем критичности и предотвращение утечки информации с верхних уровней должностной иерархии в нижние, а также блокирование возможного проникновения с нижних уровней в верхние. Организационная защита коммерческой тайны.Политика предприятия в области информационной безопасностиПроцесс создания системы защиты информации на государственном предприятии можно разделить на три этапа:формирование политики предприятия в области информационной безопасности;выбор и внедрение технических и программных средств защиты;разработка и проведение ряда организационных мероприятий.При этом следует учитывать государственные нормативные документы и стандарты, которые регулируют вопросы информационной безопасности на предприятиях государственного сектора комплекса.Основой для формирования системы защиты информации является документ, в котором регламентируются принципы и основные положения политики безопасности предприятия в области информационной безопасности. В нем отражаются следующие вопросы:1. Разработка правового обеспечения защиты коммерческой тайны. В данном аспекте разрабатываются нормативно-правовые документы, актуальные для деятельности государственного предприятия. С их помощью формируются правила соблюдения мер информационной безопасности, что регламентируется должностными обязанностями, и устанавливается ответственность за нарушение правил обеспечения конфиденциальности. В состав правового обеспечения входят государственные законы и акты, а также внутренние организационные документы предприятия.2. Определение потенциальных угроз безопасности конфиденциальных данных. Угрозы разделяются на три группы:угрозы, возникающие вследствие действий человека — это могут быть как случайные ошибки сотрудников (неправильный ввод информации или ее удаление), так и предумышленные преступные действия (кража конфиденциальных данных);угрозы, возникающие вследствие некорректной работы оборудования (сбои, вызванные вирусами);угрозы, возникающие из-за стихийных бедствий и форс-мажорных обстоятельств.3. Составление списка информационных элементов системы, подлежащих защите. Данные, которые используется в организации, могут быть открытыми или закрытыми, то есть доступными для ограниченного круга лиц. К первому типу относятся сведения, которые не составляют государственной или коммерческой тайны, и согласно внутренним документам не относятся к категории конфиденциальной информации. Негативный эффект от потери таких данных не является значительным, поэтому их защита не является приоритетным направлением работы по соблюдению мер обеспечения информационной безопасности.Ко второму типу относятся:информация, являющаяся государственной тайной, их перечень определяется законодательством;служебные сведения, любые данные, связанные с производством, финансами, искажение или разглашение которых может нанести значительный ущерб интересам предприятия;персональные данные сотрудников организации.Эти данные защищаются в первую очередь. Регламентируется места обработки этой информации, а также права доступа сотрудников. 4. Создание подразделения, ответственного за организацию мер по обеспечению информационной безопасности. Как правило, на государственных предприятиях существует разделение функций, связанных с обеспечением режима. Так, за разработку политики безопасности и за организацию мер обеспечения конфиденциальности отвечает служба безопасности предприятия, а вопросы, связанные с применением средств обработки информации, решаются подразделением по информационным технологиям. Часто возникает такая ситуация, когда реализация надежной защиты конфиденциальных данных вступает в противоречие с организацией основной производственной функции государственного предприятия. В настоящее время распространена практика введения запрета пользования сотрудниками предприятия к рабочей электронной почте их внешней среды, что полностью позволяет устранить утечки информации. В результате этого стали происходить накладки и срывы сроков при выполнении бизнес-процессов: персонал не могли оперативно принимать необходимые решения, если они находились не в офисе предприятия. Участие в разработке данного решения сотрудников подразделения по информационным технологиям позволило бы избежать этой проблемы: доступ к рабочей почте был бы сохранен, а конфиденциальность обеспечивалась бы за счет применения дополнительных программных средств, таких как использование виртуальных частных сетей.Поэтому хорошей практикой является создание единого центра принятия решений, а именно создание подразделения, задачей которого является решение организационных и технических вопросов по защите конфиденциальных данных на предприятии. В его состав необходимо включаются как сотрудники службы безопасности, так и специалисты по информационным технологиям.5. Определение основных направлений обеспечения информационной безопасности. В рамках решения этой задачи регламентируются компоненты автоматизированной системы управления, которые нуждаются в защите, определяются необходимые программные и технические средства для обеспечения защиты и разрабатываются организационные меры, направленные на защиту информации.Программные и технические средства защиты автоматизированной системы управленияОсновным аспектом организации обеспечения информационной безопасности предприятия является защита ее автоматизированной системы управления (структура приведена на рис. 1), реализуемая на базе программных и технических средств.Сложность решения этой задачи обуславливается двумя факторами. Во-первых, доступ к ресурсам имеет достаточно большое количество сотрудников, которые могут находиться в нескольких территориально-распределенных подразделениях. Во-вторых, функционирование системы обеспечивается взаимодействием целого ряда программных и аппаратных компонентов.Рис. 1 Типовая структура управления предприятиемС точки зрения применения технических и программных средств защита конфиденциальных данных в системе управления реализуется в трех аспектах:непосредственная защита информации;обеспечение сохранности информации при форс-мажорных обстоятельствах;устранение возможности несанкционированного доступа конфиденциальным данным.Для защиты данных применяют криптографические технологии: шифрование и электронную цифровую подпись, что позволяет добиться конфиденциальности и нерушимости информации, а также ее однозначной аутентификации. При этом средства шифрования обеспечивают защиту информации даже в случае ее хищения.Сохранение данных при форс-мажорных обстоятельствах обеспечивается с помощью стандартных мер.