Противодействие угрозам информационной безопасности организации со стороны собственного персонала на примере Московского банка ОАО "Сбербанк России" - Банковское, биржевое дело и страхование дипломная работа

Противодействие угрозам информационной безопасности организации со стороны собственного персонала на примере Московского банка ОАО "Сбербанк России" - Банковское, биржевое дело и страхование дипломная работа




































Главная

Банковское, биржевое дело и страхование
Противодействие угрозам информационной безопасности организации со стороны собственного персонала на примере Московского банка ОАО "Сбербанк России"

Понятие конфиденциальной информации и основные потенциальные угрозы конкурентным позициям организации в случае ее разглашения на примере Московского банка ОАО "Сбербанк России". Защита информации в электронной и устной форме, на печатных носителях.


посмотреть текст работы


скачать работу можно здесь


полная информация о работе


весь список подобных работ


Нужна помощь с учёбой? Наши эксперты готовы помочь!
Нажимая на кнопку, вы соглашаетесь с
политикой обработки персональных данных

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Глава 1. Нелояльные и безответственные сотрудники как субъекты угроз информационной безопасности работодателя
1.1 Понятие конфиденциальной информации и потенциальные угрозы конкурентным позициям организации в случае ее разглашения
1.2 Основные угрозы информационной безопасности организации, исходящие от ее безответственных и нелояльных сотрудников
1.3 Основные методы защиты конфиденциальной информации от угроз со стороны собственного персонала организации
Глава 2. Практика противодействия угрозам информационной безопасности ОАО «Сбербанк России» со стороны собственного персонала (на примере Московского банка ОАО «Сбербанк России)
2.1 Краткая характеристика Московского банка ОАО «Сбербанк России» и анализ динамики его кадрового потенциала за период 2011-2013гг.
2.2 Анализ практики обеспечения защиты конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников и выявленные в ней недостатки
Глава 3. Рекомендации по повышению степени защищенности Московского банка ОАО «Сбербанк России» от рассматриваемых угроз
3.1 Совершенствование практики защиты конфиденциальной информации в электронной форме
3.2 Совершенствование практики защиты конфиденциальной информации на печатных носителях
3.3 Совершенствование практики защиты конфиденциальной информации в устной форме
- исследовать понятие конфиденциальной информации и потенциальные угрозы конкурентным позициям организации в случае ее разглашения;
- определить основные угрозы информационной безопасности организации, исходящие от ее безответственных и нелояльных сотрудников;
- систематизировать основные методы защиты конфиденциальной информации от угроз со стороны собственного персонала организации;
- дать краткую характеристику ОАО «Сбербанк России» и провести анализ динамики его кадрового потенциала за период 2011-2013гг. (на примере одного из подразделений)
- проанализировать практику обеспечения защиты конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников и выявленные в ней недостатки;
- разработать рекомендации по совершенствованию практики защиты конфиденциальной информации в электронной форме;
- разработать рекомендации по совершенствованию практики защиты конфиденциальной информации на печатных носителях;
- разработать рекомендации по совершенствованию практики защиты конфиденциальной информации в устной форме.
Объектом исследования является ОАО «Сбербанк России».
Предметом исследования является практика защиты от угроз информационной безопасности ОАО «Сбербанк России» со стороны собственного персонала.
Информационная база исследования: эмпирическую и информационную базу исследования составили внутренние документы ОАО «Сбербанк России» (годовая и квартальная отчетность, первичная документация блока кадров и управления информационной безопасности, Устав, Этический кодекс), а также научные труды российских и зарубежных авторов; статистические и аналитические материалы; результаты научных исследований, выпущенные в качестве монографий, статистических сборников, статей периодической печати. Также использовались материалы научных конференций и семинаров, действующие законодательные акты и иные нормативные документы.
В процессе выполнения бакалаврской работы применены такие методы и приемы анализа как: методы классификации, методы сравнений и аналогий, метод обобщений, динамический и структурный метод анализа исследуемых процессов и явлений.
Теоретическая и практическая значимость данной бакалаврской работы состоит в том, что затронутые и решенные в ней проблемы дадут возможность всесторонне исследовать теоретические и практические аспекты противодействию угрозам информационной безопасности организации со стороны собственного персонала посредством совершенствования практики защиты конфиденциальной информации.
Структура бакалаврской работы включает в себя введение, три главы основного текста и заключение.
- аутентичность - свойство информации, позволяющей идентифицировать источник ее происхождения (устанавливать авторство)
- конфиденциальность - свойство информации быть защищенной от несанкционированного ознакомления;
- целостность - свойство информации быть защищенной от несанкционированного искажения, разрушения или уничтожения;
- доступность - свойство информации быть защищенной от несанкционированной блокировки.
Общепризнано, что информация с ограниченным доступом имеет как моральную, так и материальную ценность для лиц, которые им владеют. По своему содержанию информация с ограниченным доступом охватывает всю совокупность сведений, составляющих секретную и конфиденциальную информацию. Правовой режим информации с ограниченным доступом имеет целью охрану сведений, свободное обращение которых может нарушить права и законные интересы физических и юридических лиц.
Информация с ограниченным доступом - это прежде всего сведения, данные и знания, известные определенному кругу лиц, имеющие для них особую ценность. Относительно доступа к этим сведениям применяются организационно-технические и правовые меры и мероприятия, направленные на ограничение доступа посторонних лиц. Незаконное получение, распространение или использование данных сведений может причинить владельцу моральный или материальный ущерб, за что виновный подлежит привлечению к ответственности в соответствии с нормами действующего законодательства.
Относительно определения понятия «конфиденциальная информация», следует отметить, что лексическим значением слова «конфиденциальный» является такое понятие: «не подлежащий разглашению, доверительный, тайный». На мой взгляд, конфиденциальной информацией может быть любая информация с ограниченным доступом, не отнесенная действующим законодательством к государственной тайне.
Конфиденциальность понимается как предотвращение возможности использования информации лицами, которые к ней не причастныКрылов В. В. Расследование преступлений в сфере информации. - М.: Городец, 1998. - С. 63.. По мнению профессора В.А. ДозорцеваИнтеллектуальные права:Понятие; Система; Задачикодификации: Сборник статей /В. А. Дозорцев;Исследовательский центр частного права. -М. :Статут,2005. -С.24., информация признается конфиденциальной именно потому, что она является объектом исключительного владения, пользования и распоряжения конкретного лица или лиц. Конфиденциальность информации означает доступность информации только адресату.
К конфиденциальной информации относится информация, доступ к которой ограничивается с целью защиты коммерческой или клиентской тайны, а также иные данные, разглашение которых по тем или иным причинам нежелательно для конкретной организацииАлавердов А. Управлениекадровойбезопасностьюорганизации: Учебник / Академическаясерия - М.: Изд. МАРКЕТ-ДС, 2008 - Тема 1.. Иначе говоря, это любая информация, разглашение которой потенциально может нанести ущерб ее владельцу, пользователю или связанным с ними лицамАлавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях: Учебное пособие. Московский государственный университет экономики, статистики и информатики. - М., 2004. - С.24..
С этих позиций близкими к данному понятию категориями являются:
- клиентская тайна - разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести имущественный или неимущественный ущерб ее клиентам или партнерам по хозяйственной деятельности;
- банковская тайна - конфиденциальные сведения о финансовой и коммерческой деятельности клиентов финансово-кредитной организации, которыми банк располагает как их доверенное лицо;
- коммерческая тайна - разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести ей имущественный или неимущественный ущерб как хозяйствующему субъекту.
Достаточно часто как в научной литературе, так и в законодательстве указанные термины применяются как синонимы. Поэтому важно не то, какое название имеет информация, охраняемая законом от несанкционированного доступа третьих лиц, а то, каким требованиям она должна отвечать. В связи с этим при передаче по договору технологических знаний и опыта работы необходимо включать условие о «конфиденциальности»Сергеев А.П. Правоинтеллектуальнойсобственности в РоссийскойФедерации: учеб. 2-е изд., перераб. и доп.- М.: ТК Велби, Изд-во Проспект, 2004. - С.620..
Любая конфиденциальная информация является таковой в силу ее значимости для отдельных физических или юридических лиц, групп или государства в целом. Одновременно значимость подобного рода сведений обосновывается тем фактом, что они (сведения) не известны широкому кругу лиц и именно с этих позиций имеют определенную ценность. Формы и виды конфиденциальной информации можно классифицировать по различным позициям (см. рис. 1).
Рисунок 1. Классификация конфиденциальной информации организации
В целом, конфиденциальную информацию в сфере хозяйственной деятельности можно определять условно разделить на три сектора:
- деловая информация предприятия или организации;
- информация, касающаяся непосредственно фактических данных о субъекте хозяйствования (информация персонального характера);
- ноу-хау - так называемые секреты производства.
Первая часть информации касается непосредственно информации о деятельности предприятия или организации в определенной сфере, а именно: различные базы данных (клиентов, адресов, контрагентов), результаты исследований статистического, маркетингового характера, конъюнктуры потребительского рынка и т.д.
Второй блок информации касается информации, характеризующей предприятие и неразрывно связанной с ним, такой как: сведения о банковских счетах, масштабах производства и разнообразных договорах, заключаемых данным предприятием и т.д.
Третий блок информации можно условно обозначить как «ноу-хау» или совокупность технических, технологических, коммерческих и других знаний, оформленных в виде технической документации, навыков и производственного опыта, необходимых для организации того или иного вида производства, но не запатентованных.
На современном этапе развития экономики и общества в целом информация, как объект интеллектуальной собственности компании, становится все более значимым инструментом на пути к коммерческому успеху. Научно технические разработки, экономические и организационные решения, которые неизвестны третьим лицам, могут оказывать компании конкурентные преимущества и служить основным или дополнительным источником дохода. В последнее время все больше владельцев такой информации начали осознавать необходимость ее защиты. В системе обеспечения безопасности предпринимательской деятельности все большее значение приобретает информационная безопасность. Это связано с растущим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создает качественно новые угрозы конфиденциальной информации и конкурентным позициям организации в случае ее разглашения.
Именно вследствие утечки коммерческой информации компании очень часто страдают от снижения возможности продажи лицензий на собственные научные разработки, от потери приоритета в освоенных областях научно технического прогресса, от роста затрат на переориентацию деятельности исследовательских подразделений, от роста расходов предприятия на создание новой рыночной стратегии и многих других.
Наряду с необходимостью защиты коммерческой тайны (т.е. информации, разглашение которой наносит ущерб самой организации), обеспечение информационной безопасности имеет еще один аспект. Он связан с сохранением той части конфиденциальной информации, разглашение которой наносит ущерб интересам ее клиентов. К ней относятся любые сведения о размерах и движении денежных средств на счетах клиентов (для финансово-кредитной организации), о финансовом состоянии партнеров и заемщиков, о переданном организации в доверительное управление имуществе или сохраняемых ценностях. Разглашение данной информации имеет своим основным негативным последствием потерю организацией деловой репутации и имиджа доверенного лица в глазах не только имеющихся, но и потенциальных партнеров и клиентов. Допустившая подобную «утечку информации» организация незамедлительно теряет наиболее перспективных партнеров из числа корпоративных структур и крупных индивидуальных клиентовАлавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях: Учебное пособие. Московский государственный университет экономики, статистики и информатики. - М., 2004. - С.7..
Создание эффективной системы управления информационной безопасностью невозможно без четкого определения угроз охраняемой информации. Под угрозами информации принято понимать потенциальные или реально возможные действия в отношении информационных ресурсов, приводящие к неправомерному владению информацией.
Угрозы организации, связанные с доступом к конфиденциальной информации, можно классифицировать по следующим критериям (рис.2):
Рисунок 2. Классификация угроз, связанных с доступом к конфиденциальной информацииСоставлено автором по: Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности. - 2014. - №1(2). - С. 67-73.
- по критериям информационной безопасности (угрозы конфиденциальности данных и программ; угрозы целостности данных, программ, аппаратуры; угрозы доступности данных; угрозы отказа от выполнения операций);
- по компонентам информационных систем, на которые нацелены угрозы (информационные ресурсы и услуги, персональные данные, ноу-хау, программные средства, аппаратные средства, программно-аппаратные средства);
- по способу осуществления (случайные, умышленные, действия природного и техногенного характера);
- по расположению источника угроз (внутренние и внешние).
Соответственно, можно выделить актуальные угрозы информационной безопасности, которые направлены на снижение конкурентных позиций организации в случае ее разглашения:
- противоправный сбор и использование информации;
- нарушение технологии обработки и хранения информации;
- внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
- разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
- вывод из строя, повреждение или разрушение средств и систем обработки информации, телекоммуникации и связи;
- влияние на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
- утечка информации по техническим каналам;
- утечка информации по личным каналам;
- внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций всех форм собственности;
- уничтожение, повреждение, разрушение или хищение печатных, аудио-, видео-, электронных и других носителей информации;
- перехват информации в сетях передачи данных и линиях связи, дешифрование этой информации;
- навязывание недостоверной и ложной информации;
- распространение информации, способной нанести ущерб репутации организации;
- использование не сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации;
- несанкционированный доступ к информации, находящейся в банках и базах данных;
- нарушение законных ограничений на конфиденциальность и распространение информации.
Современный анализ ситуаций, связанных с доступом к конфиденциальной информации, свидетельствует о том, что финансовые компании и госструктуры постоянно сталкиваются с внутренними угрозами в этой сфере. Целесообразно привести несколько примеров инцидентов, произошедших за последнее времяОбзор новостей компании InfoWatch[Электронный ресурс] - режим доступа: ttp://www.infowatch.ru:
- Управление Роскомнадзора по Санкт-Петербургу и Ленинградской области пришло к выводу, что ООО «ВКонтакте» нарушило законодательство о персональных данных. К ООО «ВКонтакте» применены административные и штрафные санкции (новость от 15.06.2012);
- Великобритания. Городские власти Глазго принесли извинения перед гражданами и юридическими лицами, чьи данные хранились на похищенных ноутбуках. Всего подверглись угрозе 37 тыс. персональных данных (от 14.06.2012);
- США. Федеральный кредитный союз Bethpage (BFCU) сообщил 86 тыс. своих клиентов о компрометации информации по их кредитным карточкам (от 13.06.2012);
- В Рунете появилась новость о краже паролей пользователей LinkedIn (от 07.06.2012);
- Сотрудник компании JPMorganChase&Co в Японии был признан виновным в разглашени инсайдерской информации, связанной с продажей акций компании NipponSheetGlassCo в 2012 г. (от 31.05.2012).
Отметим, что кчислу наиболее существенных внутренних угроз относятся действия или бездействие (умышленные или непреднамеренные) сотрудников, противодействующих интересам деятельности предприятия, следствием которых может быть нанесение экономического ущерба компании, потеря информационных ресурсов, подрыв делового имиджа компании, возникновение проблем в отношениях с реальными или потенциальными партнерами и т.д. Скиба В., Курбатов В. Руководство по защите от внутренних угроз информационной безопасности. - М.,Спб.: Издательство Питер, 2008. - С.37.
Специалисты по обеспечению экономической безопасности полагают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и мотивации персоналаИщейнов В.Я., Мецатунян М.В. Защитаконфиденциальнойинформации: Учеб. пособие. - М.: ФОРУМ, 2009. - С. 32.. Учитывая, что значительная часть внутренних угроз реализуется при участии или содействии персонала, можно считать, что основным источником таких угроз являются работники данной организации. Соответственно, объектом дальнейшего рассмотрения являются негативные риски и угрозы, связанные с деятельностью персонала организации и, в первую очередь, исходящие от ее безответственных и нелояльных сотрудников.
- Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате человек должен выдать определенную информацию, или совершить определенное действие. Этот вид атак применяется обычно по телефону. Чаще данная техника включает больше, чем просто ложь, и требует каких-либо предыдущих исследований (например, персонализации: дата рождения, сумма последнего счета и др.), с тем, чтобы обеспечить доверие человека.
- Фишинг - техника, направленная на мошенническое получение конфиденциальной информации. Обычно злоумышленник посылает объекту e-mail, фальсифицированный под официальное письмо от банка или платежной системы, в котором требует "проверки" определенной информации или осуществления определенных действий.
- «Троянский конь» - эта техника эксплуатирует интерес, или жадность человека. Злоумышленник отправляет e-mail, который содержит достаточно интересную для человека информацию, например, свежий компромат на сотрудника; вложение обычно содержит «вирус», считывающий информацию с компьютера адресата. Такая техника остается эффективной, пока пользователи по невнимательности открывают любые приложения.
- «Дорожное яблоко» - этот метод атаки является адаптацией «троянского коня», и заключается в использовании физических носителей. Злоумышленник может подбросить инфицированный CD или флэш-носитель, в месте, где он может быть легко найден. Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать интерес.
- Qui pro quo - злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, который опрашивает, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" сотрудник вводит команды, которые позволяют злоумышленнику запустить вредное программное обеспечение.
а) Неосторожность персонала. Очень часто сотрудники, хотя и не имеют целью разгласить конфиденциальные сведения, делают это, иногда даже не сознавая этого. Поэтому неосторожность можно разделить на две категории: действия или бездействие сотрудников, вызванные неосведомленностью в сфере защиты информации; действия или бездействие сотрудников в случае, в которых сотрудники знали или не знали, но должны были знать о возможных негативных последствиях.
В первом случае можно говорить о вине сотрудника, однако скорее это просчеты высшего руководства, которое не сумело донести персоналу о важности информации и о ее защите. Под преступной самоуверенностью понимают действия или бездействие сотрудника, когда он знал о возможных негативных последствиях, предусматривал их наступление, но вызывающе рассчитывал на их предотвращение. Преступной небрежностью (халатностью) являются действия или бездействие сотрудника, когда он не знала, но должен был знать о возможных негативных последствиях своего поступка. Во всех указанных случаях целью сотрудника не было разглашение конфиденциальных сведений, однако именно к этому привели его действия.
б) Умышленные действия работников по разглашению информации. В отличие от неосторожности, умысел предполагает, что целью действий сотрудников было именно разглашение информации, являющейся конфиденциальной. Причем сотрудников могли завербовать агенты промышленного шпионажа или же они сами инициативно решили предать организацию, на которую работали (в этих случаях они уже сами могут искать контакты с представителями конкурирующих фирм или другими лицами, заинтересованными в получении определенной информации). Для того чтобы выявить или предупредить такие действия, необходимо определиться, по каким именно мотивам работники пошли на них.
Классификация мотивации безответственных и нелояльных сотрудников к разглашению конфиденциальной информации организации приведена в табл. 2.
Классификация мотивации внутренних нарушителейСоставлено автором по материалам: Скляренко А. Угрозы конфиденциальности информации, связанные с персоналом // Бизнес и безопасность. - 2010. - №1. - С.92;. Доминяк В. Организационная лояльность: основные подходы//Менеджер по персоналу. - 2006.- №4.- С. 34 - 40.
личные финансовые трудности, невозможность удовлетворения жизненных потребностей своих и семьи;
психологическая готовность (предрасположенность) работника к злоупотреблению служебным положением;
порочные связи, поступки, увлечения;
несоответствие квалификации сотрудника занимаемой должности
наличие слабых мест в системе управления деятельностью фирмы (в частности, в системе управленческого учета);
низкая квалификация руководства организации;
нездоровый деловой климат в коллективе организации;
слабый кадровый менеджмент, который позволяет занимать ответственные должности сотрудникам-аферистам, неэффективная персональная работа с кадрами;
отсутствие или слабость корпоративной политики и этики;
слабая организация системы обучения персонала;
неэффективная система мотивации (нет анализа потребностей каждой личности и персональной мотивации);
некачественная проверка кандидатов при приеме на работу
условия материальной и/или моральной мотивации у конкурентов лучше;
установка конкурентов на переманивание;
втягивание их в разные виды зависимости;
инфляционные процессы (их следует учитывать при расчете заработной платы)
Анализируя угрозы конфиденциальности данных, которые связаны с персоналом, можно увидеть, что игнорирование этих угроз приводит к появлению серьезных убытков и ущерба деятельности организации. Речь идет не только о финансовых потерях компании, но и о резком падении ее имиджа в связи с тем, что она не может защитить собственную конфиденциальную информацию.
Поэтому руководству организации следует крайне серьезно и ответственно подходить к проблеме защиты конфиденциальной информации от вышеописанных угроз со стороны собственных безответственных и нелояльных сотрудников и собственного персонала организации в целом.
- Организационные мероприятия по защите информации (комплекс административных и ограничительных мер);
- Контрольно-правовые меры (контроль за выполнением персоналом требований соответствующих инструкций, распоряжений, приказов, нормативных документов);
- Профилактические мероприятия (направленные на формирование у персонала мотивов поведения, которые побуждают их к безусловному выполнению в полном объеме требований режима, правил проведения работ и др., а также на формирование соответствующего морально-нравственного состояния в коллективе);
- Инженерно-технические мероприятия (кодирование информации, ограничение прав доступа к электронным носителям и т.п.);
- Работа с кадрами (подбор персонала, инструктажи, обучение персонала по вопросам обеспечения защиты информации, воспитание бдительности сотрудников, повышение их квалификации);
- Психологические мероприятия (установка видеонаблюдения, обнародование инцидентов с попыткой вынесения служебной информации за пределы организации).
Для того, чтобы предотвратить возможность несанкционированного доступа к конфиденциальной информации, необходимо ввести надежную систему защиты документооборота. При этом следует принимать во внимание тот факт, что внедрение системы защиты всегда приводит к осложнениям в работе, следовательно, внедрение системы защиты должно быть экономически обоснованным и целесообразным.
Правовая основа защиты информации на предприятиях и в организациях базируется на следующих нормативных документах:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- Доктрина информационной безопасности Российской Федерации;
- Закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. №149-Ф3;
- Закон РФ «О персональных данных» от 29.07.2006 г. №151-Ф3;
- Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства РФ от 15 августа 2006 г. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
- Постановление Правительства РФ от 31 августа 2006 г. №532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;
- Государственные (национальные) стандарты Российской Федерации.
Организационно-правовые методы защиты информации заключаются в ограничении доступа, как посторонних лиц, так и работников организации к объектам, где содержится секретная или конфиденциальная информация. Главная задача этих методов защиты - препятствовать несанкционированному доступу (НСД). Атака этого вида может осуществляться как пассивным методом (считывание секретной информации), так и активным (повреждение информации)Жигулин Г.П. Организационное и правовоеобеспечениеинформационнойбезопасности, - СПб: СПбНИУИТМО, 2014. - С.40..
Для предупреждения НСД осуществляют следующее:
- при работе с внешними документами, содержащими секретную информацию, следует придерживаться определенных правил (передавать документы с курьером, обеспечить их хранение и охрану и т.п.);
- при безбумажной передаче документов следует обеспечить идентификацию, как автора документа, так и его содержания.
Наиболее распространенным алгоритмом идентификации является использование электронной цифровой подписи (ЭЦП). В схемах ЭЦП вместо документа рассматривается его хэш-функция h(x), основное свойство которой - практическая невозможность создания двух разных документов с одинаковым значением хэш-функции. Проверка правдивости документа заключается в контроле соотношения, которое связывает хеш-функцию документа, подпись под ним и открытый ключ автора документа.
Помимо использования правовых и организационно-правовых методов для препятствования НСД, следует установить физические препятствия на пути попадания злоумышленника к конфиденциальной информации, в том числе попыток с использованием технических средств съема информации и воздействия на нее.
Для предотвращения утечки речевой информации по акустическому и виброакустическому каналам осуществляются мероприятия по выявлению каналов утечки. В большинстве случаев для несанкционированного съема информации в помещении злоумышленник применяет соответствующие считывающие устройства.
Технические меры защиты можно разделить на:
- средства аппаратной защиты, включающие средства защиты кабельной системы, систем электропитания, и так далее;
- программные средства защиты, в том числе: криптография, антивирусные программы, системы разграничения полномочий, средства контроля доступа и так далееМетодыорганизациизащитыинформации : учебноепособиедля студентов 3-4 курсоввсех форм обучения направлений подготовки 230400.55, 230701.51, 090300.65, 220100.55 / Ю. Ю. Громов и др. - Тамбов : Изд-во ФГБОУ ВПО «ТГТУ», 2013. - С.5..
Внутренняя система информации и документооборота наиболее уязвима со стороны сотрудников предприятия. Доказано, что причиной 80% всех потерь или искажений информации являются злонамеренные поступки работников фирмы. Единственный способ предотвратить это - соответствующая кадровая политика организации, направленная на повышение заинтересованности сотрудников в успешной работе, воспитание чувства ответственности за свою работу. Рассмотрим порядок реализации каждой из функций управления персоналом в целях обеспечения информационной безопасностиМельникова, Е. И. Формыутечкиинформации, составляющейкоммерческую тайну, и управление персоналом предприятия в целяхобеспеченияинформационнойбезопасности [Текст] /Е. И. Мельникова. //Юридический мир. -2009. - № 12. - С. 40 - 43.
Противодействие угрозам информационной безопасности организации со стороны собственного персонала на примере Московского банка ОАО "Сбербанк России" дипломная работа. Банковское, биржевое дело и страхование.
Сочинение Егэ Допуск К Экзаменам
Дипломная работа по теме Разработка автономного источника питания на основе радиоизотопных материалов и кремниевой p-i-n структуры
Контрольная Работа На Тему Фальсификация Товаров: Понятия, Объекты, Виды, Способы. Вкусовые Товары
Курсовая работа: Учет расчетов по налогу на добавленную стоимость
Убийство Матерью Новорожденного Ребенка Курсовая 2022
Курсовая Работа На Тему Кровообращение
Реферат: Князь Василий Дмитриевич. Скачать бесплатно и без регистрации
Как Правильно Пишется Слово Реферат
Контрольная работа по теме Характеристика основных методов получения антибиотиков
Контрольная работа: Типы химических реакций
Сочинение По Русскому Языку На Террасе
Контрольная Работа На Тему Определение Тепловых Потерь Теплоизолированного Трубопровода
Реферат: Андрей Николаевич Муравьев
Реферат: Искусство Древнего Китая. Скачать бесплатно и без регистрации
Курсовая работа по теме Організація курортно-рекреаційного туризму в Україні (за матеріалами: санаторій 'Косів')
Реферат На Тему Общая Характеристика Экономики Луганской Области
Курсовая работа: Туристско-рекреационный потенциал Калужской области
Дипломная работа по теме Оценка рыночной стоимости производственно-административного здания
Темное Царство В Пьесе Сочинение
Сочинение На Тему Смерть Сократа
Реферат: Кве нтин Дже ром Таранти но кинорежиссёр, сценарист
Реферат: Кожные болезни
Статья: Физкультурно-познавательные технологии в начальной школе


Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org