Защита и обработка конфиденциальны документов

Таким образом DLP-системы в настоящее время обладают необходимыми компонентами системы информационной безопасности предприятий.Система КИБ "Серчинформ" позволяет получать данные о состоянии защищенности информационной системы, посредством которых можно проводить оценку уровня принимаемых мер в области информационной безопасности. На корпоративном уровне система аудита информационной безопасности реализуется в направлениях:- аудит системы антивирусной защиты;- аудит системы защиты от несанкционированного доступа;- аудит защиты от сетевых угроз;- аудит антивирусной защиты;- аудит физической защиты;- аудит систем электронного документооборота.2.2. Характеристика организационной защиты информацииТаким образом, в условиях ООО «Байт» имеется в наличии большое количество объектов защиты информации, защита которой должна быть реализована как согласно федеральному законодательству, так и исходя из коммерческих соображений предприятия.В ходе работы над данным проектом мной было проведено изучение организационной структуры предприятия в области защиты информации.В таблице 4 приведено распределение обязанностей по специалистам в области защиты конфиденциальности информации в подразделениях ООО «Байт»Таблица 4 - Функциональные обязанности специалистов в области защиты конфиденциальной информации ДолжностьФункцииОтветственностьРуководитель подразделенияКонтроль за соблюдением требований законодательства защиты конфиденциальной информации, подписание документов в области защиты конфиденциальной информацииОтветственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности (дисциплинарная, административная, уголовная) Заместитель руководителя подразделенияВозглавляет комиссии, необходимые при проведении работ по обеспечению требований защиты конфиденциальной информации, подписывает акты по технологическим операциямОтветственность за работу комиссии по обеспечению требований защиты информацииАдминистратор защиты информации (назначается из числа специалистов)Практическая реализация комплексной защиты информации, ведение документации по защите информации, разработка нормативных актов, внесение предложений, выявление фактов нарушения требований защиты информации Ответственность за организацию защиты информацииНачальник отделаКонтроль за выполнением требований защиты информации в возглавляемом отделе.Ответственность за нарушение требований защиты информации в отделеСпециалист отделаКонтроль за выполнением требований защиты информации на рабочем местеОтветственность за нарушение требований защиты информации2.3. Программные технологии защиты конфиденциальности документовВ существующих системах документооборота обеспечение конфиденциальности может быть реализовано через:- установку паролей к документам Word (в версиях 2010 и выше) через меню «Защита документа»;- ограничение возможностей доступа к документам MSOfficeс использованием встроенных средств через меню «Защита документа» (рисунок 4);Рисунок – Режимы ограничения доступа к документам MSOffice- обеспечение конфиденциальности документооборота возможно средствами разграничения доступа к файловой системе (где к файловым ресурсам выставляется доступ для пользователей, которым он необходим);- при пересылке и хранении конфиденциальных документов также используется архивирование с паролем, который передается отдельно адресатам сообщений;- использование средств криптографии (простановка электронной подписи, либо шифрование конфиденциального документа).Для защиты конфиденциальных документов необходимо использование средств защиты от вредоносного ПО. Для этого в организациях принимается ряд соответствующих мер. Внутренними нормативными документами запрещено использование неучтенных носителей информации. Определен характер учета, хранения и использования учтенных носителей информации. На рабочих станциях, где технологически не предполагается копирование данных на внешние носители, произведено отключение USB-портов, FDD, CD/DVD-приводов. Распространение вредоносного ПО средствами электронной почты также возможно ограничить через использование корпоративных серверов электронной почты с системой защиты от СПАМ-рассылок, встроенные в них системы проверки. Также с пользователями проводятся обучения по правилам работы с внешними почтовыми ящиками. Так, в последнее время, широкое распространение получают вирусы-шифровальщики, которые могут быть не детектированы антивирусными системами и системами антиспама. В данном случае от пользователей требуется внимательность, направленная на блокировку сообщений с подозрительных адресов, либо отправка их администраторам для проведения экспертизы.Каждый из пользователей несет персональную ответственность за выявленный факт вирусного заражения на своей рабочей станции. Таким образом, целями антивирусной защиты в АИС предприятия являются:- противодействие активности вредоносного ПО в АИС предприятия;- обеспечение работоспособности АИС предприятия и возможностей по ее восстановлению в случае сбоев с минимумом финансовых издержек и временных затрат.Основными принципамиантивирусной защиты в ООО "Байт" являются:- доведение регламентирующих документов в области антивирусной защиты до пользователей информационной системы;- регламентация использования внешних носителей информации (допускается оборот только учтенных носителей);- использование в работе только лицензионных программ, включая операционные системы, своевременное их обновление;- ежедневное обновление сигнатур антивирусных баз, программных модулей АВЗ в автоматическом режиме;- проверка на наличие вредоносного ПО всех файлов, полученных из внешних источников;- обучение правилам и нормам АВЗ вновь принятых на работу сотрудников;- исключение доступа пользователей к настройкам системы антивирусной защиты;- ограничение доступа пользователей к ресурсам Интернета.В случае использования систем конфиденциального документооборота прикладных программных решений необходимо обеспечить работу системы разграничения доступа. Типовое разграничение доступа предполагает наличие прав администратора (с возможностью управления учетными записями и системными справочниками), оператора (для работы с оперативной информацией), руководителя (для мониторинга состояния документооборота). К парольной защите устанавливается ряд требований:- периодичность смены пароля (не реже 1 раза в год);- длина пароля – не менее 8 символов;- наличие символов в различной раскладке, использование буквенно-символьных сочетаний, букв в различных регистрах;- обеспечение конфиденциальности паролей (передача пароля другим сотрудникам недопустима).ЗаключениеВ рамках данной работы проведен анализ вопросовобеспечения конфиденциальности систем документооборота.Для обеспечения конфиденциальности в регламентирующих документах по защите информации необходимо отдельными пунктами определять список специалистов, допущенных к системам документооборота с указанием уровня доступа.Проведен анализ теоретических аспектов проектирования систем информационной безопасности, определены объекты защиты информации в информационных системах предприятий. Показано, что наиболее распространенными тактиками при проектировании системы информационной безопасности являются как комплекс защитных мер, так и активные, атакующие мероприятия. В рамках данной работы был проведен анализ возможности применения данных стратегий на примере инженерно-технической, организационной и программной защиты информации. Опыт организаций, занимающихся защитой информации, показывает, что для достижения удачных решений по обеспечению информационной безопасности необходимо сочетание правовых, организационных и инженерно-технических мер. Это сочетание определяется конфиденциальностью защищаемой информации в условиях предприятий, работающих с внешними рынками, характером опасности и наличием средств защиты. В общем случае технические меры безопасности в условиях предприятий, составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.Список использованных источниковПриказ ФСТЭК России от 11 февраля 2013 г. N 17 Бирюков А.А. Информационная безопасность. Защита и нападение. М.: ДМК-Пресс, 2014. – 647 с.Астахов А.М. Искусство управления информационными рисками. – М.: ДМК Пресс, 2015. – 314 с. Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2015 - 96с.Абдикеев Н.М. Информационный менеджмент.- М. : ИНФРА-М¸ 201. – 658с.Алешенков М. Основы национальной безопасности/М.Алешенков /Основы безопасности жизни.-2015.-№11.-С.5-10. Андреев Э. М., Миронов А.В. Социальные проблемы интеллектуальной уязвимости и информационной безопасности //Социально-гуманитарные знания.-2015.-№4.-С.169-180.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2015. – 338с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Комплексная система защиты информации на предприятии. Часть 1. – М.: Московская Финансово-Юридическая Академия, 2008. – 124 с.Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.