Автор работы: Пользователь скрыл имя, 19 Апреля 2012 в 14:19, курсовая работа
С Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются: массовое распространение средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.
- приоритетности - предварительное категорирование (ранжирование) информационных ресурсов Агентства по степени важности в виде перечней сведений, подлежащих защите, и оценка реальных угроз информационной безопасности;
- комплексного подхода – согласование мероприятий, проводимых в области защиты информации Агентства, со всем комплексом мероприятий по физической и технической безопасности Агентства, а также противодействие всем возможным угрозам информационной безопасности Агентства; оптимальное сочетание проводимых мероприятий;
- единой политики - координация деятельности различных подразделений Агентства по созданию и поддержанию необходимого уровня защиты информации в Агентстве, определение обязанностей и ответственности подразделений (их руководителей);
- целесообразности - затраты на обеспечение защиты информации не должны превышать потери, которые может понести адвокатская фирма при реализации угроз.
Политика в области защиты информации в Агентстве включает следующие основные этапы:
- определение информации, подлежащей защите (объекты защиты);
- определение возможных негативных воздействий на защищаемую информацию (угрозы) и способов реализации этих угроз;
- определение ценности защищаемой информации (риски) и ее ранжирование;
- разработка комплекса мер по поддержанию необходимого уровня защиты информации;
- распределение полномочий и ответственности за обеспечение установленного режима безопасности.
Законодательной
основой настоящей Концепции
являются Конституция Российской Федерации,
Гражданский и Уголовный
II. Цели и задачи защиты информации в Агентстве юридических услуг
Целями защиты информации в Агентстве являются:
· предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);
· предотвращение угроз безопасности личности и адвокатской конторы;
· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение, конфиденциальности документированной информации в соответствии с законодательством.
К задачам защиты информации в Агентстве относятся:
2. Обеспечение деятельности Агентства режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать Агентству юридических услуг преимущества перед конкурентами и оправдывать затраты средств на защиту информации.
3. Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
4. Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности Агентства.
5. Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что адвокатская фирма принимала необходимые меры к защите этих сведений.
6. Организация
специального делопроизводства, исключающего
несанкционированное получение конфиденциальной
информации.
III. Основные объекты защиты
Основными объектами защиты в Агентстве являются:
1. Информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к адвокатской тайне, коммерческой тайне и иной конфиденциальной информации (в дальнейшем - защищаемой информации);
2. Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;
3. Программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы Агентства, с помощью которых производится обработка защищаемой информации;
4. Помещения, предназначенные для ведения закрытых переговоров и совещаний;
5. Помещения, в которых расположены средства обработки защищаемой информации;
6. Технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.
Подлежащая защите информация может находиться в Агентстве:
- на бумажных носителях;
- в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);
- передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;
- присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;
- записываться
и воспроизводиться с помощью технических
средств (диктофоны, видеомагнитофоны
и др.).
IV. Угрозы защищаемой информации и возможные источники их возникновения
Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
1. Утрата сведений, составляющих адвокатскую тайну, коммерческую тайну Агентства и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;
2. Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;
3. Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.
Источниками (каналами) возникновения угроз могут являться:
- стихийные бедствия (пожары, наводнения и т.п.);
- технические аварии (внезапное отключение электропитания, протечки и т.п.);
- несанкционированное получение идентификаторов пользователей и их паролей, паролей доступа к общим ресурсам;
- несанкционированная передача защищаемой информации из внутренней (локальной) сети в глобальную сеть Internet;
- умышленное или неумышленное разглашение защищаемой информации;
- хищение носителей информации или несанкционированное копирование информации;
- посылка в ЛВС пакетов, нарушающих нормальную работу сети;
- внедрение программ-троянов, резидентных программ, обеспечивающих получение полного контроля над компьютером;
- внедрение деструктивных программ – вирусов, сетевых червей и пр.;
- проникновение зловредных программ через Internet, электронную почту, гибкие диски, CD-диски;
- получение информации о топологии сети, принципах ее функционирования, характеристической информации сети или участка сети;
- хищение, физический вывод из строя технических средств;
- прослушивание сетевого трафика (с целью получения информации о сетевых ресурсах, хешированных паролях, идентификаторах пользователей и пр.) с использованием легальных рабочих станций;
- прослушивание сетевого трафика с использованием нелегальных компьютеров, подключенных к ЛВС физически (локально) или удаленно;
- внедрение технических и программных средств скрытного съема информации с рабочих станций, средств связи, из помещений Агентства, в которых обрабатывается защищаемая информация;
- использование специальных методов и технических средств (побочные излучения, наводки по цепям питания, электронные закладки, дистанционное скрытое видеонаблюдение или фотографирование, применение подслушивающих устройств, перехват электромагнитных излучений и наводок и т.п.);
- использование для доступа к информации так называемых "люков", "дыр" и "лазеек" и других возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования, применяемых в автоматизированных системах обработки данных;
- незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (перехват модемной и факсимильной связи);
- умышленное
изменение используемого программного
обеспечения для несанкционированного
сбора защищаемой информации.
V. Меры по обеспечению защиты информации в Агентстве юридических услуг
Основными мерами по обеспечению защиты информации в Агентстве являются:
- административно-
- технические, основанные на использовании аппаратно-программных и специальных средств;
- режимные.
1.
Административно-правовые и
1.1.
Определение правового статуса
всех субъектов отношений в
информационной сфере, включая
пользователей информационных
1.2.
Разработка перечня возможных
нарушений информационной
1.3.
Оценка эффективности
1.4.
Включение в должностные
1.5.
Совершенствование системы
1.6.
Подготовка и повышение
1.7.
Аттестация объектов
1.8.
Разработка правил (регламентов,
порядков) эксплуатации технических
и программных средств с
1.9. Оперативное реагирование (внедрение) на появление новых разработок в области информационных технологий;