49220 (Теория и методология защиты информации в адвокатской конторе), страница 2
Описание файла
Документ из архива "Теория и методология защиты информации в адвокатской конторе", который расположен в категории "". Всё это находится в предмете "информатика" из 1 семестр, которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "курсовые/домашние работы", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "49220"
Текст 2 страницы из документа "49220"
Поэтому целью руководителя адвокатской конторы является обеспечение надежной защиты информации на предприятии для его нормального функционирования. Следовательно, моя цель, как аналитика, заключается в разработке концепции защиты информации в адвокатской фирме «Юстина», которая могла бы стать основой для формирования комплексной системы защиты информации на этом предприятии, при этом соответствовала требованиям к системе безопасности адвокатской конторы и помогала избежать неоправданных расходов и возрастания вероятности угроз.
1.4. Задачи
Для достижения поставленной передо мной цели мне необходимо решить следующие задачи:
-
Определить цели и задачи защиты информации в адвокатской конторе.
-
Определить основные объекты защиты на предприятии.
-
Определить предмет защиты на предприятии.
-
Определить и охарактеризовать факторы, влияющие на защиту информации на предприятии.
-
Выявить возможные угрозы защищаемой информации в адвокатской конторе и их структуру.
-
Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии
-
Выявить причины дестабилизирующего воздействия на защищаемую информацию на предприятии.
-
Выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии.
-
Определить основные направления, методы и средства защиты информации на предприятии.
2. Заключение
2.1. Концепция защиты информации в адвокатской фирме «Юстина»
Утверждено
постановлением
Президента фирмы «Юстина»
от _______ 200_года № __
Концепция защиты информации в адвокатской фирме «Юстина»
Концепция защиты информации в адвокатской фирме «Юстина» (далее - концепция) представляет собой систему взглядов на содержание проблемы защиты информации, а также на цели, задачи, принципы и основные направления формирования и развития системы защиты информации в адвокатской фирме «Юстина» (в дальнейшем – адвокатская фирма).
Цель разработки и внедрения Концепции – определение основных положений политики адвокатской фирмы в области защиты информации и создание единой системы правовых, организационных, технических и иных мер, надежно обеспечивающих защищенность адвокатской фирмы в информационной сфере.
Концепция служит основой для разработки целевых программ по обеспечению защиты информации адвокатской фирмы и подготовки предложений по их совершенствованию.
I. Общие положения
Отправной точкой при разработке политики адвокатской фирмы в области защиты информации является ясное понимание роли и места системы защиты информации в деятельности адвокатской фирмы и в сфере обеспечения его безопасности в целом. Защита информации является одним из элементов общей политики адвокатской фирмы в области безопасности, которая охватывает более широкий круг вопросов, начиная от охраны материальных ценностей адвокатской фирмы и защиты его персонала до использования криптографических средств защиты информации и предотвращения возможной утечки информации за счет побочных электромагнитных излучений. Элементы общей системы безопасности адвокатской фирмы должны быть взаимосвязаны и согласованы.
Защита информации в адвокатской фирме основывается на ряде основополагающих принципов:
-
законности – соблюдение законодательства Российской Федерации по защите информации и законных интересов всех участников информационного обмена;
-
приоритетности - предварительное категорирование (ранжирование) информационных ресурсов адвокатской фирмы по степени важности в виде перечней сведений, подлежащих защите, и оценка реальных угроз информационной безопасности;
-
комплексного подхода – согласование мероприятий, проводимых в области защиты информации адвокатской фирмы, со всем комплексом мероприятий по физической и технической безопасности адвокатской фирмы, а также противодействие всем возможным угрозам информационной безопасности адвокатской фирмы; оптимальное сочетание проводимых мероприятий;
-
единой политики - координация деятельности различных подразделений адвокатской фирмы по созданию и поддержанию необходимого уровня защиты информации в адвокатской фирме, определение обязанностей и ответственности подразделений (их руководителей);
-
целесообразности - затраты на обеспечение защиты информации не должны превышать потери, которые может понести адвокатская фирма при реализации угроз.
Политика в области защиты информации в адвокатской фирме включает следующие основные этапы:
-
определение информации, подлежащей защите (объекты защиты);
-
определение возможных негативных воздействий на защищаемую информацию (угрозы) и способов реализации этих угроз;
-
определение ценности защищаемой информации (риски) и ее ранжирование;
-
разработка комплекса мер по поддержанию необходимого уровня защиты информации;
-
распределение полномочий и ответственности за обеспечение установленного режима безопасности.
Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности предприятия.
II. Цели и задачи защиты информации в адвокатской конторе
Целями защиты информации в адвокатской фирме являются:
-
предотвращение утечки, хищения, утраты, искажения, подделки конфиденциальной информации (коммерческой и адвокатской тайны);
-
предотвращение угроз безопасности личности и адвокатской конторы;
-
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию конфиденциальной информации;
-
предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
-
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
-
сохранение, конфиденциальности документированной информации в соответствии с законодательством.
К задачам защиты информации в адвокатской фирме относятся:
-
Обеспечение деятельности адвокатской фирмы режимным информационным обслуживанием, то есть снабжением всех служб, подразделений и должностных лиц необходимой информацией, как засекреченной, так и несекретной. При этом деятельность по защите информации по возможности не должна создавать больших помех и неудобств в решении производственных и прочих задач, и в то же время способствовать их эффективному решению, давать адвокатской конторе преимущества перед конкурентами и оправдывать затраты средств на защиту информации.
-
Гарантия безопасности информации, ее средств, предотвращение утечки защищаемой информации и предупреждение любого несанкционированного доступа к носителям засекреченной информации.
-
Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности адвокатской фирмы.
-
Документирование процесса защиты информации с тем, чтобы в случае возникновения необходимости обращения в правоохранительные органы, иметь соответствующие доказательства, что адвокатская фирма принимала необходимые меры к защите этих сведений.
-
Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.
III. Основные объекты защиты
Основными объектами защиты в адвокатской фирме являются:
-
Информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к адвокатской тайне, коммерческой тайне и иной конфиденциальной информации (в дальнейшем - защищаемой информации);
-
Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;
-
Программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы адвокатской фирмы, с помощью которых производится обработка защищаемой информации;
-
Помещения, предназначенные для ведения закрытых переговоров и совещаний;
-
Помещения, в которых расположены средства обработки защищаемой информации;
-
Технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.
Подлежащая защите информация может находиться в адвокатской фирме:
-
на бумажных носителях;
-
в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);
-
передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;
-
присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;
-
записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны и др.).
IV. Угрозы защищаемой информации и возможные источники их возникновения
Под угрозами защищаемой информации понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
-
Утрата сведений, составляющих адвокатскую тайну, коммерческую тайну адвокатской фирмы и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;
-
Утечка – несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;
-
Недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс-мажорных обстоятельств.
Источниками (каналами) возникновения угроз могут являться:
-
стихийные бедствия (пожары, наводнения и т.п.);
-
технические аварии (внезапное отключение электропитания, протечки и т.п.);
-
несанкционированное получение идентификаторов пользователей и их паролей, паролей доступа к общим ресурсам;
-
несанкционированная передача защищаемой информации из внутренней (локальной) сети в глобальную сеть Internet;
-
умышленное или неумышленное разглашение защищаемой информации;
-
хищение носителей информации или несанкционированное копирование информации;
-
посылка в ЛВС пакетов, нарушающих нормальную работу сети;
-
внедрение программ-троянов, резидентных программ, обеспечивающих получение полного контроля над компьютером;
-
внедрение деструктивных программ – вирусов, сетевых червей и пр.;
-
проникновение зловредных программ через Internet, электронную почту, гибкие диски, CD-диски;
-
получение информации о топологии сети, принципах ее функционирования, характеристической информации сети или участка сети;
-
хищение, физический вывод из строя технических средств;
-
прослушивание сетевого трафика (с целью получения информации о сетевых ресурсах, хешированных паролях, идентификаторах пользователей и пр.) с использованием легальных рабочих станций;
-
прослушивание сетевого трафика с использованием нелегальных компьютеров, подключенных к ЛВС физически (локально) или удаленно;
-
внедрение технических и программных средств скрытного съема информации с рабочих станций, средств связи, из помещений адвокатской фирмы, в которых обрабатывается защищаемая информация;
-
использование специальных методов и технических средств (побочные излучения, наводки по цепям питания, электронные закладки, дистанционное скрытое видеонаблюдение или фотографирование, применение подслушивающих устройств, перехват электромагнитных излучений и наводок и т.п.);
-
использование для доступа к информации так называемых "люков", "дыр" и "лазеек" и других возможностей обхода механизма разграничения доступа, возникающих вследствие несовершенства общесистемных компонентов программного обеспечения (операционных систем, систем управления базами данных и др.) и неоднозначностями языков программирования, применяемых в автоматизированных системах обработки данных;
-
незаконное подключение специальной регистрирующей аппаратуры к устройствам или линиям связи (перехват модемной и факсимильной связи);
-
умышленное изменение используемого программного обеспечения для несанкционированного сбора защищаемой информации.
V. Меры по обеспечению защиты информации в адвокатской конторе