WWW.REFERATCENTRAL.ORG.UA - Я ТУТ НАВЧАЮСЬ

... відкритий, безкоштовний архів рефератів, курсових, дипломних робіт

ГоловнаДіловодство, Архівознавство → Захист конфіденційних документів від несанкціонованого доступу - Реферат

Захист конфіденційних документів від несанкціонованого доступу - Реферат

професіоналізм і безвідповідальність персоналу. Втрата (витік) інформації передбачає несанкціонований перехід цінних, конфіденційних відомостей до особи, яка не має права володіти ними і використовувати їх в своїх цілях для отримання прибутку. В тому випадку, коли мова йде про втрату інформації по вині персоналу, зазвичай використовується термін "розголос інформації". Розголошує інформацію завжди людина - усно, письмово, за допомогою жестів, міміки, умовних сигналів, особисто або через посередника. Термін "витік інформації" використовується найбільш широко, хоча, на наш погляд, в більшому ступені відноситься до втрати інформації за рахунок її перехвату за допомогою технічних засобів розвідки. При розголошенні, витоку інформація може переходити або до зловмисника а потім, можливо, до конкурента, або до третьої особи. Під третьою особою в даному випадку розуміють любі особи, які отримали інформацію у володіння в силу обставин (тобто які стали її джерелом), але які не мають права володіння нею і, що дуже важливо, не зацікавлені в цій інформації. Однак необхідно враховувати, що від третіх осіб інформація може перейти до зацікавленої в ній особи - конкуренту фірми. Перехід інформації до третьої особи можна назвати ненавмисним, стихійним. Він виникає в результаті: втрати або випадково знищення документу, пакету (конверта); невиконання, незнання або ігнорування співробітником вимог по захисту інформації; надмірної балакучості співробітників під час відсутності зловмисника; роботи з конфіденційними документами при сторонніх особах, несанкціонованої передачі конфіденційного документа іншому співробітнику; використання конфіденційних відомостей в пресі, особистих записах, неслужбових листах; наявності в документах надмірної конфіденційної інформації; свавільного копіювання співробітником документів в службових цілях. На відміну від третьої особи зловмисник навмисно й таємно організовує, створює канал витоку інформації та експлуатує його по 161 можливості більш чи менш тривалий чає." Знати можливий витік інформації означає: для зловмисника - мати стабільну можливість отримувати цінну інформацію; для власника інформації - протидіяти зловмиснику та зберігати таємницю, а інколи і дезінформувати конкурент" Інформація повинна поступати до конкурента тільки по каналу, що контролюється, в якому відсутні конфіденційні відомості а інформація, яка циркулює, ранжована по складу, користувачам і характеризується загальною відомістю і доступом. Прикладом такого каналу є видання та розповсюдження рекламно-інформаційних матеріалів. Канали витоку, якими користуються зловмисники, відрізняються більшою різноманітністю. Основними видами цих каналів можуть бути: встановлення зловмисником взаємовідносин з співробітниками фірми або відвідувачами, співробітниками фірм-партнерів, службовцями державних або муніципальних органів управління та іншими особами; аналіз опублікованих матеріалів про фірму, рекламних видань, виставочних проспектів та іншої загальнодоступної інформації; вступ зловмисника на роботу в фірму; робота в інформаційних мережах; кримінальний, силовий доступ до інформації, тобто викрадення документів, шантаж персоналу та інші способи; робота зловмисника в технічних каналах розповсюдження інформації. В результаті своєї діяльності по організації розголошення або витоку цінної, конфіденційної інформації зловмисник отримує: оригінал або офіційну копію конфіденційного документу; несанкціоновано зроблено копію цього документу (рукописну чи виготовлену за допомогою технічних засобів - копіювального апарату, фототехніки, комп'ютера і т.д.); диктофону, магнітофонну касету із звукозаписом тексту документа; письмове чи усне викладення за межами фірми змісту документа, ознайомлення з яким здійснювалось санкціоновано або таємно; усне викладення тексту документа по телефону, переговорному пристрою, спеціальному радіозв'язку і т.і.; аналог документу, переданого по факсимільному зв'язку або електронній пошті; мовний або візуальний запис тексту документа, виконану за допомогою технічних засобів розвідки (радіозакладок, вмонтованих мікрофонів і відеокамер, мікрофотоапаратів, фотографування з більшої відстані). Виявлення каналу розголошення (витоку) інформації - складна, довготривала і трудомістка задача. В основі її вирішення лежить класифікація та постійне вивчення джерел і каналів розповсюдження інформації та можливих каналів її витоку, пошук і виявлення реальних каланів витоку оцінка ступеню небезпеки кожного реального каналу, придушення небезпечних каналів і аналіз ефективності захисних мір, яких було вжито для безпеки інформації. Канали розголошення (витоку) інформації завжди індивідуальні і залежать від конкретних задач, поставлених перед зловмисником. Отже, контроль джерел і каналів розповсюдження конфіденційної інформації дозволяє визначити наявність і характеристику загроз інформації, виробити структуру системи захисту інформації, яка надійно перекриє доступ зловмиснику до цінної інформації фірми. 2. Система захисту цінної інформації і конфіденційних документів Система захисту інформації (СЗІ) представляє собою комплекс організаційних, технічних і технологічних засобів, методів і мір, які перешкоджають несанкціонованому (незаконному) доступу до інформації. Власник інформації особисто визначає не тільки склад цінної інформації, яка належить захисту, але й відповідні способи та засоби захисту. Одночасно ним розробляються міри матеріального і морального стимулювання співробітників, які дотримуються порядку захисту цінної інформації, і міри відповідальності персоналу за розголошення таємниці фірми. Система захисту інформації повинна бути багаторівневою з ієрархічним доступом до інформації, гранично конкретизованою і прив'язаною до специфіки фірми по структурі методів та засобів захисту, що використовуються, відкритою для регулярного оновлення, надійної як в звичайних, так і в екстремальних ситуаціях. Вона не повинна створювати співробітникам фірми серйозні незручності в роботі. Комплексність системи захисту досягається її формуванням з різних елементів - правових, організаційних, технічних та програмно-математичних. Співвідношення елементів та їх зміст забезпечують індивідуальність системи захисту інформації фірми і гарантують її неповторність та трудність подолання. Конкретну систему захисту можна уявити у вигляді цегляної стіни, як складається з безлічі різноманітних елементів (цегли). Співвідношення елементів системи, їх склад та взаємозв'язок відображають, визначають не тільки її індивідуальність, але й конкретний заданий рівень захисту з врахуванням цінності інформації та вартості подібної системи. Елементправового захисту інформації передбачає: наявність в засновницькій та організаційних документах фірми, контрактах, що укладаються із співробітниками, і в посадових інструкціях положень та зобов'язань по захисту відомостей, що складають таємницю фірми і її партнерів, формулювання і доведення до відома всіх співробітників фірми механізму правової відповідальності за розголошення конфіденційних відомостей. В правовий елемент системи захисту може також включатись страхування цінної інформації від різних ризиків. Елемент організаційного захисту інформації містить міри
Loading...

 
 

Цікаве