Комплекс мер предпринимаемых локально руководством организации это

Вернемся к нашему примеру с сайтом e-commerce. Безопасность сайта зависит от безопасности его компонентов: приложений, операционной системы, аппаратного обеспечения сервера, базы данных, сети.

Если говорить о программном обеспечении, основой информационной безопасности смело можно назвать контроль доступа. Только авторизованные люди могут получить доступ к информации (о заказах, пользователях, изменениях товаров и т.п.). Появляется понятие «identity management«. На русский можно перевести по-разному – «управление идентификацией» или «управление идентификационными сущностями», что более отражает действительность. В общем, будем использовать оригинал – identity management. Для данного примера он будет заключаться в следующем:

• создать учетную запись для каждого пользователя. Менеджер продаж, являющийся владельцем системы, будет создавать пользовательские учетные записи. Если появится новый сотрудник отдела продаж, он создаст для него соответствующую учетную запись. Сотрудники других отделов (например, бухгалтерии) для получения доступа будут создавать запрос, запрос будут утверждать их руководители, и только потом он будет поступать менеджеру продаж, который создаст учетную запись.
• давать необходимые права каждой учетной записи. Например, для учетных записей сотрудников отдела продаж это просмотр заказов, смена их статусов и т.п. При этом важно не дать лишние права (принип минимальных привилегий). Каждая учетная запись должна иметь только те права, которые необходимы ей для выполнения работы.
• для подтверждения наличия прав необходима аутентификация. Обычно это логин и пароль. Естественно, можно использовать другие методы – eToken, USB, smart card и т.п.
• деятельность всех сущностей должна отображаться в журнале (логироваться). Необходимо пересматривать журнал на предмет подозрительных действий. Например, почему пользователь несколько раз вводил неправильный пароль? Почему пользователь хотел войти на сайт в нерабочее время? Почему новые учетные записи были созданы без уведомления менеджера продаж? и т.п.

Для поддержки корректного логирования необходимо следующее:

• разным пользователям не позволено использовать одну учетную запись. В противном случае Вы не сможете сказать, кто в действительности сделал то или иное действие.
• журнал (лог) должен быть открыт только на запись. Даже если сервер атакует хакер, он не сможет удалить из журнала информацию о своих действиях.
• если у пользователя меняется должность или должностные обязанности, отдел кадров должен извещать об этом владельцев систем.

Они блокируют текущие учетные записи и ожидают запросы на регистрацию новых учетных записей или изменение старых.

• если пользователь увольняется, отдел кадров сообщает об этом владельцам систем, которые в свою очередь удаляют учетную запись.
• регулярный обзор списка пользователей и их прав с целью проверки

Это минимальные процедуры для приложений. Аналогичным образом выглядит обеспечение безопасности других компонентов. Главное – каждый компонент должен иметь владельца, который контролирует к нему доступ и отвечает за аудит. Identity management отвечает за то, что те, у кого есть бизнес-необходимость, будут иметь соответствующие права и учетные записи. Тем не менее всегда есть вероятность злоумышленных действий от тех, кто не имеет учетных записей. Например:

• приложение может иметь уязвимость, которая позволит хакеру создать специальный HTTP-запрос для получения доступа как веб-сервер, читать базу данных или записывать в нее, модифицировать страницу, которая отображается пользователям (межсайтовый скриптинг) и т.п.
• операционная система может иметь уязвимость, которая позволяет вирусам инфицировать компьютер путем посылки пакетов определенного типа;
• администратор операционной системы может запустить вирус, который будет выглядеть как что-то полезное, на стороннем сайте и т.п.

Для борьбы с подобными проблемами необходимо:

• своевременно и быстро устанавливать все обновления;
• следить за целостностью отдельных компонентов (например, с помощью «Соболя»);
• установить антивирусные программы;
• ограничить сетевой доступ к компонентам системы. Например, если никто не должен получать доступ к операционной системе по сети, можно ограничить доступ конфигурацией межсетевого экрана.
• и т.п.

Даже если Вы приняли описанные превентивные меры, информационная безопасность все равно уязвима. Допустим, вирус обнаружен, но он успел разрушить критичные системные файлы, или хакер получил доступ к информации о кредитных картах клиентов? В рамках обеспечения информационной безопасности важно предусмотреть реакцию на возникновение инцидентов. Например:

• оценить инцидент – действительно ли это нарушение информационной безопасности или нормальное действие, принятое за злоумышленное?
• оценить тяжесть инцидента – украдена информация о кредитных картах клиентов или операционная система заражена обыкновенным вирусом?
• информировать заранее определенные заинтересованные стороны.
• отключить и изолировать компонент.
• расследовать инцидент, чтобы установить первопричину.
• восстановить услугу и устранить первопричину инцидента или найти какое-то обходное решение
• сообщить о результате заинтересованным сторонам.

Теперь у вас есть меры для защиты данных при обычных операциях. Но что, если есть необходимость в передаче данных кому-то? Например, передать информацию о доставке в электронном виде транспортной компании? Вам нужно позаботиться о сохранении целостности и конфиденциальности информации при передаче (например, с помощью SSL) и доказать, что она действительно от Вас (цифровая подпись).

Одним из надежных методов защиты является PKI, то есть использование открытого и закрытого ключей. Преимущество в том, что открытый ключ можно сделать публичным и привязать к различным системам, для входа в которые пользователи будут использовать закрытые ключи. Основная сложность – сохранение конфиденциальности закрытых ключей. Отсюда появляется необходимость в процессе, отвечающим за их защиту, генерацию, распространение открытых ключей и отзыв при компрометации.

После того, как Политика обеспечения информационной безопасности и другие процедуры созданы и используются, необходимо организовать тестирование безопасности, например:

• проверять сервера на известные уязвимости (действительно ли делаются обновления?);
• пробовать сканировать трафик с целью получения конфиденциальной информации (действительно ли защищена конфиденциальная информация?);
• проверить приложения сайта e-commerce на предмет уязвимостей;
• аудиты третьих сторон.

Перед непосредственной реализацией Политики необходимо ее утверждение высшими лицами организации. ИТ-риски должны быть учтены бизнесом и ими необходимо управлять в рамках системы управления корпоративными рисками.

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

• законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
• административный – комплекс мер, предпринимаемых локально руководством организации;
• процедурный уровень – меры безопасности, реализуемые людьми;
• программно-технический уровень – непосредственно средства защиты информации.

К сожалению, на практике достаточно часто бизнес считает, что вопросами информационной безопасности должна заниматься только ИТ-служба. Еще хуже, когда бизнес не понимает, зачем вообще нужно уделять внимание информационной безопасности. Создание эффективной системы защиты информации влечет за собой большие затраты, которые должны быть понятны руководству, так как именно оно принимает решение о финансировании. При этом важно соблюдать баланс — обеспечение информационной безопасности не должно стоить больше самой защищаемой информации.

DS 6. Определение и распределение затрат

В больших организациях затраты на ИТ достигают десятков, а то и сотен миллионов рублей. Естественной становится необходимость в рыночной и объективной системе определения и распределения этих затрат. Данный процесс включает в себя создание и применение системы учета, распределения и отчетности по затратам на ИТ для пользователей услуг. Эффективный процесс «Определение и распределение затрат» позволяет бизнесу принимать более компетентные решения по использованию средств и ИТ-услуг.

Определение и распределение затрат.

удовлетворяет следующим бизнес требованиям к ИТ

обеспечение прозрачности, понимание ИТ-затрат и совершенствование эффективности затрат посредством должного информирования об использовании ИТ-услуг.

сосредоточено на

полном и аккуратном учете затрат на ИТ, справедливом распределении, согласованным с бизнес пользователями и системе оперативной отчетности по использованию ИТ и распределению затрат.

достигается с помощью

• Приведения в соответствие затрат на оплату услуг с качеством и количеством предлагаемых услуг.
• Создания и согласования полной модели затрат.
• Финансирования затрат в соответствии с принятой согласованной политикой.

результаты оцениваются с помощью следующих показателей

• Доля счетов за ИТ услуги, принятых/оплаченных бизнес-менеджерами.
• Доля расхождений между бюджетами, прогнозами и реальными затратами.
• Доля от общих затрат на ИТ, распределяемая согласно принятым моделям затрат.

Комплексный
проект
рационализации делопроизводства
в
учреждении представляет
собой описание организации делопроизводства,
технологии
выполнения работ на научной основе с
учетом последних
достижений в этой
области (прежде всего
компьютерных
технологий).

Составляется
проект
по разделам.

Проект
выполняется мето­дами
текстового описания,
графического, математического
моделирования.

Практика
работы
по проектированию организации
делопроизводства
в аппарате управления показала,
что комплексный проект
по рациональной
организации делопроизводственного
обслуживания состоит из следующих
разделов.

1.
Структура,
штаты и нормативные материалы
по делопроизводственному обслуживанию.

2.
Доставка и экспедиционная обработка
документов.

3.
Регистрация
документов и информационно-справочная
служба.

4.
Контроль
за исполнением документов
и поручений.

5.
Составление и
оформление документов, унификация и
трафаретизация документов.

6.
Текущее
хранение документов, номенклатуры дел.

7.
Архив учреждения.

8.
Организация рабочих мест, оснащение
оборудованием и средствами вычислительной
техники
и оргтехники.

Все
разделы выполняются сегодня на базе
новейших компьютерных технологий.
Количе­ство
разделов в проектах может определять­ся
в зависимости от потребностей заказчика,
его
возможностей и уровня организации
де­лопроизводства на конкретном
объекте. Час­то
ряд разделов объединяются и даются в
со­вокупности.
Например, регистрация и контроль
исполнения,
экспедиционная обработка и ре­гистрация
документов и т.д. Но независимо от
таких
объединений все вышеназванные вопросы
могут входить в комплексный проект.

Разделы
проекта всегда предусматрива­ют
все
взаимосвязанные законченные час­ти:
рациональная организация участка
делопроизводственной службы и расчет
эф­фективности предлагаемых мероприятий.

3. Внедрение организационных проектов.

Внедрение
оргпроекта проводится на основании
материалов по реализации рабочего
проекта организации производства,
содержащихся в комплекте рабочей
документации, в два этапа: 1) подготовка
к внедрению; 2) внедрение.

Подготовка
к внедрению включает
работы:

1)    формирование
программно-целевой группы, ответственной
за выполнение работ по реализации
проекта.

Необходимость
создания группы должна быть оговорена
на этапе предпроектной подготовки;

2)    изучение
комплекта рабочей документации по
проектированию;

3)    материально-техническую
подготовку, которая заключается в
проведении работ по строительству и
перестройке отдельных помещений, их
перепланировке, приобретении
дополнительного оборудования, оснастки,
технических средств управления и т.п.;

4)    профессиональную
подготовку кадров, которая заключается
в обучении, переподготовке и повышении
квалификации работников предприятия
(ИТР, служащих, рабочих) для работы в
новых условиях;

5)    социально-психологическую
подготовку, которая состоит в проведении
мероприятий (бесед, лекций и т.п.) по
убеждению работников в необходимости
и эффективности реализации оргпроекта,
привлечению их к активному участию в
его осуществлении;

6)    разработку
системы стимулирования, которая
заключается в формировании положений
по материальному и моральному
стимулированию работников на период
внедрения проекта;

7)    опытно-экспериментальную
проверку, которая представляет собой
апробацию оргпроекта или его частей на
отдельных объектах с целью выявления
недостатков в оргпроекте и их устранения
для успешной реализации всего комплекса
работ по внедрению проекта;

    корректировку
рабочей документации по результатам
опытно-экспериментальных работ.

Этап
внедрения включает
три вида работ: реализация оргпроекта;
расчет фактического экономического
эффекта; проведение приемо-сдаточных
работ.

В
реализации проекта совершенствования
или преобразования организации
производства на предприятии в отличие
от внедрения проекта построения новой
организационной системы можно выделить
три части:

1)    частичное
внедрение, когда элементы проектируемой
организации производства постепенно
вытесняют элементы функционирующей
системы и поэтому существуют рядом с
ними;

2)    полное
внедрение, знаменующееся заменой старой
системы на проектируемую;

3)    адаптация
новой системы, доказывающая ее
жизнеспособность и эффективность.

Структура
и содержание этапов разработки оргпроеков
могут быть различными. Например,
технический и рабочий проекты часто
выполняются в виде техно-рабочего
проекта.

1. Рационализация
   документационного обеспечения
   учреждения: понятие, целесообразность,
   задачи, методические принципы.

«Главное
правило документооборота — оперативное
движение документов по наиболее короткому
пути с минимальными затратами времени
и труда «.

Чтобы
рационализировать документооборот,
необходимо четко регламентировать
маршруты движения документов, утвердить
согласованные правила для всех принятых
делопроизводственных процедур, создать
благоприятные организационно-технические
условия для производительной работы
сотрудников службы делопроизводства.

  Критерии
рациональности организации работы с
документами:

• максимальное
  сокращение инстанций прохождения
  документов;

• наличие
  общепринятых в организации правил
  осуществления основных делопроизводственных
  процедур и «технологических шагов»;

• уменьшение
  времени на выполнение делопроизводственных
  процедур и «технологических шагов»;

• исключение
  или максимальное ограничение возвратных
  движений документов (в процессе
  подготовки, регистрации, согласования
  );

• уменьшение
  численности сотрудников, занятых в
  службе делопроизводства.

Практика
рационализации делопроизводства в
аппарате управления, накопленная в
нашей стране, позволяет выделить основные
этапы
проектирования:

1.
Проведение предпроектного обследования,
т. е. сбор исходных данных для проектирования.

2.
Анализ существующей системы делопроизводства
на основе материалов обследования.

3.
Составление технического задания на
проектирование.

4.
Разработка проекта рационализации
делопроизводства и расчет ожидаемой
экономической эффективности от его
внедрения.

5.
Внедрение.

Проведение
каждого этапа требует применения
определенных, присущих данному этапу
методов.
Прежде чем разрабатывать
рекомендации, необходимо получить,
возможно, более полное представление
о состоянии объекта исследования на
сегодняшний день. Для этого проводится
предпроектное обследование.

Обследованию
подлежат:

·
функции, задачи и структура учреждения;

·
структура делопроизводственной службы,
ее задачи, функции и штаты;

·
организационно-нормативные материалы
по делопроизводству;

·
характер загрузки делопроизводственного
персонала и основных специалистов;

·
организация секретарского обслуживания;

·
документы учреждения (оформление и
содержание);

·
состав и структура документопотоков;

·
организация работы с документами;

·
технология прохождения документов;

·
организация изготовления (набора) и
размножения документов;

·
организация доставки (движения)
документов;

·
организация текущего хранения документов;

·
архив учреждения;

·
уровень автоматизации и механизации
делопроизводства и архива;

·
организация и оборудование рабочих
мест делопроизводственного персонала.

В
предпроектном обследовании используются
следующие методы: изучение документов,
непосредственное наблюдение, фотография
рабочего дня, самофотография и хронометраж,
опрос (интервьюирование), анкетирование,
графический, статистический.

Изучение
документов
— один из основных общеобязательных
методов, которым начинается обследование.
Необходимые для изучения при
оргпроектировании документы условно
можно разделить на несколько групп.

К
первой группе относятся законодательные
и нормативные материалы о создании,
задачах, функциях организации.
Рационализаторы, приступая к работе,
должны получить полное представление
об объекте. Это достигается изучением,
прежде всего, законодательных актов,
приказов, положений как об организации
в целом, так и о его структурных
подразделениях, и штатного расписания.
Если организация создана давно и имеет
свою историю, надо посмотреть в архиве
(если он есть) историческую справку о
фондообразователе, в которой отражается
история организации с момента ее
создания, все структурные изменения и
т. д. Штатное расписание позволяет сразу
представить размеры организации,
документальные потоки и их объем.

Особого
внимания заслуживают нормативные и
методические материалы по организации
делопроизводства: положение о службе
делопроизводства, инструкция по
делопроизводству, должностные инструкции
на работников делопроизводственной
службы, положение об экспертной комиссии
(если есть — и о ЦЭК), методические
рекомендации по составлению, оформлению
и изготовлению документов, методические
рекомендации по выполнению отдельных
делопроизводственных операций, нормы
выработки на делопроизводственные
операции.
Эти документы позволяют
получить общее представление о структуре
и задачах делопроизводственной службы,
уровне организации делопроизводственного
обслуживания. Общая численность
сотрудников учреждения и процент
делопроизводственного персонала
выясняются по штатному расписанию.

Ко
второй группе относятся различные
учетные формы, перечни и сведения, дающие
материал о состоянии технологии обработки
документов в учреждении.
Собирая
сведения о порядке приема, обработки и
передачи входящей и исходящей
корреспонденции, объеме документооборота
и структуре документопотоков, изучаются
учетные формы (журналы, реестры), списки
постоянных корреспондентов, классификаторы
структурных подразделений и исполнителей
с индексами, графики и маршруты движения
документов и др.
Изучение порядка
регистрации и контроля исполнения
документов требует ознакомления с
регистрационными формами, перечнем
документов, не подлежащих регистрации,
перечнем документов, подлежащих контролю,
сводками исполнения документов в срок.
В копировально-множительном центре
собираются данные из журнала учета
копировально-множительных работ и
выдачи готовой продукции. Особого
подхода требует изучение материалов,
характеризующих организацию текущего
хранения документов. Требуется выявить
наличие и изучить номенклатуру дел
(сводную и индивидуальную), описи дел
постоянного хранения, акты о выделении
к уничтожению документов и дел и сами
первичные комплексы (дела).

Изучая
уровень автоматизации и механизации
делопроизводственного процесса,
оборудование и организацию рабочих
мест, обращаются к спецификации
оборудования, средств автоматизации и
оргтехники, изучается поэтажный план,
который дает сведения о размещении
структурных подразделений организации,
размере площади, приходящейся на
сотрудников различных категорий. Эти
данные используются впоследствии при
проектировании размещения и организации
рабочих мест.
Отдельной задачей
является изучение самих документов,
поступающих в учреждение извне (входящих)
и создаваемых в нем. Это наиболее
трудоемкая и кропотливая часть
исследования. Вся совокупность документов
или какая-то их часть могут изучаться
как для рационализации технологического
процесса их обработки, так и для решения
вопросов унификации и трафаретизапии
документов по форме и содержанию. Для
рационализации делопроизводственных
процессов из документов могут быть
получены сведения о составе корреспондентов
и основных вопросах переписки. Эти
данные необходимы при составлении
классификаторов, решении вопросов
прямоточности движения документов,
автоматизации документооборота.

Унификация
и трафаретизация требует просмотра
больших массивов документов. На стадии
обследования необходимо лишь решить
вопрос о возможности и целесообразности
проведения таких работ.

Метод
наблюдения.
Этот метод также является одним из
основных. Он заключается в непосредственном
присутствии в учреждении на конкретных
рабочих местах и визуальном фиксировании
происходящих процессов и условий труда,
дает возможность проектанту не только
собрать необходимый исходный материал,
лично разобраться, но и проверить и
уточнить данные, полученные другими
методами, т. е. действовать по принципу:
«Лучше один раз увидеть, чем сто раз
услышать».

Наблюдение
в зависимости от цели и выбора формы
записи собираемых данных может проводиться
различными способами.

Метод
наблюдения используется для выяснения
характера загрузки различных категорий
сотрудников учреждения, организации
секретарского обслуживания, организации
работы по приему, обработке, изготовлению,
транспортировке, хранению документов,
оснащенности компьютерной техникой,
средствами механизации, организации
рабочих мест сотрудников, состояний
архива.
Технологию движения и обработки
типичных видов документов лучше всего
изучать с помощью фиксации наблюдений
в так называемых «технологических
цепочках». Технологические цепочки
появились в результате обобщения
наблюдательных карточек, широко
используемых в 20-е годы. Технологическая
цепочка — это результат фиксирования
совокупности операций, отражающий
последовательность работы с наблюдаемыми
документами. Каждой операции присваивается
определенный номер и дается ее краткое
описание. В технологической цепочке
указываются все исполнители операций,
их должности и наименования структурных
подразделений. По каждой операции
цепочки отмечается не только затраченное
на нее рабочее время, но и время, прошедшее
между отдельными рабочими операциями.
С помощью технологической цепочки
происходит сбор и систематизация
исходных данных о документе. Она
показывает:

·
состав и очередность операций;

·
вид обработки документа;

·
состав исполнителей и распределение
работы между ними;

·
длительность каждой операции и паузы
между ними;

·
длительность маршрутов исполнителей
и документов.

На
составление технологической цепочки
исследователями затрачивается обычно
большое количество времени. Одни и те
же структурные подразделения аппарата
управления в ней повторяются столько
раз, сколько проводится в них та или
иная работа с документом. На основе
данных технологических цепочек
впоследствии могут быть составлены
разного рода оперограммы, которые лягут
в основу проектирования автоматизированной
системы организации движения документов,
то есть документооборота.

Для
определения характера загрузки рабочего
времени основных категорий
делопроизводственного персонала и
выявления видов работ, выполняемых
отдельными сотрудниками организации,
используется фотография
рабочего дня
(ФРД). Результаты ФРД входят составной
частью в отчет об организации
делопроизводства, а при проектировании
структуры и штатов делопроизводственного
участка организации служат и доказательной
частью.
ФРД является разновидностью
непосредственного наблюдения, но в силу
своей специфики этот способ в литературе
часто выделяется как самостоятельный
метод

Целью
фотографии рабочего дня является
определение содержания труда, количества
единиц работы и затрат рабочего времени,
а также и изучение вопросов, связанных
с повышением эффективности труда
работников делопроизводства. Это
позволяет впоследствии разработать
рекомендации по автоматизации
управленческого труда.

ФРД
является одним из трудоемких методов.
Проводится, как правило, в течение 5-7
дней для получения достоверности
результатов и требует большого напряжения
как от наблюдателя, так и от наблюдаемого.

Обычно
ее проводят после тщательного инструктажа
наблюдателей, так как одновременно ФРД
охватывается значительное количество
делопроизводственного персонала.
Для
проведения ФРД необходим следующий
комплект документов:

а)
наблюдательный лист;

б)
баланс рабочего времени.

Технология
ФРД содержит три этапа:

·
наблюдение;

·
сводка по группировочным признакам;

·
анализ полученных результатов.

ФРД
позволяет выявить наиболее типичные и
массовые операции, выполнение которых
поддается автоматизации. Результаты
ФРД используются оргпроектантами в
качестве доказательного материала при
определении загрузки рабочего времени
основных категорий делопроизводственного
персонала. Они позволяют также дать
классификацию перечня работ, выполняемых
сотрудниками учреждений.

Используются
ФРД при проектировании штатной численности
сотрудников делопроизводственного
обслуживания аппарата управления. ФРД
дает возможность перераспределить
обязанности между ними. Результаты ФРД
являются также основой при составлении
таких документов, как положение о службе
ДОУ, должностные инструкции отдельных
категорий сотрудников делопроизводственных
служб.

Самофотографиярабочего дня (СФРД) имеет элемент
субъективизма. В случае необходимости
проведения ФРД большого числа работников
и при малочисленности разработчиков
метод самофотографирования может быть
рекомендован.

При
его применении необходимо особенно
тщательно подготовить перечень
предполагаемых операций и провести
подробный инструктаж работников, которые
будут проводить самофотографию.

Хронометраж— вид наблюдения, при проведении которого
изучаются циклически повторяющиеся
элементы работы.

Хронометраж
обычно применяется для определения или
уточнения затрат времени на технические
типовые операции для установления норм
выработки.
Для проведения хронометража
требуется большая подготовительная
работа. Она заключается в тщательном
изучении технологического процесса,
выявлении операций, подлежащих измерению,
и расчленению их на отдельные элементы.

Опрос
(интервьюирование).Этот метод чаще
всего позволяет проверить, уточнить и
дополнить данные, полученные другими
методами, и проводится вместе с ними.
В
ряде случаев метод опроса является
определяющим при выяснении распределения
обязанностей между сотрудниками
делопроизводственной службы (прежде
всего, при отсутствии должностных
инструкций), выяснении вида работ,
выполняемых сотрудниками.

На
основе опроса выявляется перечень
операций, выполняемых работником. Этот
перечень для отдельных служащих может
быть уточнен с помощью наблюдений,
хронометража и фотографии рабочего
дня.

Методом
опроса выясняется также мнение сотрудников
об условиях их труда, степени автоматизации,
оснащенности средствами оргтехники,
психологическом климате в коллективе,
отношении к работе по рационализации.

Готовясь
к опросу, проектант заранее продумывает
и составляет список должностных лиц, с
которыми он предполагает провести
интервьюирование, готовит перечень
вопросов.
Результаты опроса не всегда
фиксируются во время беседы. Они могут
быть записаны и после ее окончания. Но
чаще исследователи имеют с собой
вопросник, который позволяет им не
забыть получить необходимую информацию,
и фиксируют ее тут же в произвольной
форме во время разговора.

Этот
метод требует индивидуального подхода
к каждому работнику аппарата управления
и в связи с этим результаты опроса бывают
весьма разнообразны. В случае если
интересующие нас вопросы при
интервьюировании не были выяснены,
исследователь прибегает к другим
методам.
Анкетирование — техническое
средство конкретного социального
исследования. В оргпроектировании
применяется для сбора необходимых
сведений путем обработки анкет,
заполняемых сотрудниками аппарата
управления.

Анкетапредставляет собой специально
разработанный опросный лист для получения
определенных сведений о том, кто его
заполняет. Таким образом, анкетирование
фактически является методом заочного
опроса по определенной программе.

Этот
метод применяется в том случае, если
количество обследуемых сотрудников
велико и не может быть охвачено ни устным
опросом, ни ФРД. Чаще всего метод
анкетирования применяется с целью
определения затрат времени основных
специалистов на выполнение несвойственных
им делопроизводственных операций.

Метод
анкетирования требует высокой квалификации
исследователя и большой подготовительной
работы.

Во-первых,
при составлении анкеты, прежде всего,
необходимо очень точно определить цель
анкетирования, какие данные мы хотим
получить от сотрудников аппарата,
особенно тщательно должны быть продуманы
и сформулированы вопросы. От их четкости
и ясности во многом зависят полученные
результаты.

Во-вторых,
успех анкетирования зависит также от
предварительного разъяснения его целей
и задач, которые даются во вступительной
части анкеты и позволяют лицам, заполняющим
анкету, правильно отвечать на предложенные
вопросы.

Анкеты
разрабатываются индивидуально для
каждого объекта. Наиболее типовыми в
анкетах являются вопросы: степень
загруженности основных специалистов
аппарата управления документным и
внедокументным обслуживанием;
использование в работе основных
специалистов типовых текстов (шаблонов);
применение компьютерной, диктофонной
и другой оргтехники; затраты времени
основных специалистов на совершаемые
маршруты, поиск необходимой документации,
подшивку документов, печатание документов.

Графический
методпредусматривает детальную
и лаконичную фиксацию наблюдаемых
операций и явлений с помощью чертежа.
Графики находят широкое применение в
оргпроектных работах. Они используются
при изучении документов (схема
организационной структуры учреждения,
секторные диаграммы, схемы документационных
потоков, документооборота, графики
входящей и исходящей корреспонденции
и др.), наблюдении (технологическая
цепочка, оперограммы), оформлении
результатов анализа ФРД, СФРД, хронометража,
анкетировании (хронооперограммы, карты
ФРД, СФРД, хронокарты, графики состава
и распределения работ с указанием затрат
во времени). Метод применяется на всех
этапах оргпроектирования. Тесно связан
с анализом и проектированием.

Статистический
методпредусматривает количественный
учет однородных, повторяющихся операций
и явлений. Этот метод также широко
применяется на всех объектах
оргпроектирования. Он используется при
подсчете объема документооборота, числа
регистрируемых и контролируемых
документов и средств автоматизации,
результатов, полученных при ФРД, СФРД,
наблюдении, анкетировании.

При
статистическом методе фиксация ведется
как по произвольной форме, так и в заранее
разработанных таблицах и карточках.
Первичные наблюдения подвергаются
затем суммированию и анализу.

1. Конфиденциальное
   делопроизводство в государственных
   учреждениях и коммерческих организациях
   Российской Федерации: цели, задачи,
   принципы, структура, нормативная основа.

Цель
и задачи

Конфиденциальное
делопроизводство
определяется как деятельность,
обеспечивающая документирование,
организацию работы с конфиденциальными
документами и защиту содержащейся в
них информации.

Из
сферы действия конфиденциального
делопроизводства вытекают и его задачи:

1)
документационное обеспечение всех
видов конфиденциальной деятельности;

2)
защита документированной информации,
образующейся в процессе конфиденциальной
деятельности.

Первая
задача направлена на организацию и
бесперебойное функционирование
конфиденциальной деятельности в сфере
любого вида производства и управления.
Это требует от делопроизводства
обеспечения нужд конфиденциальной
деятельности полной, своевременной и
достоверной документной информацией,
организации исполнения и использования
документов.

Вторая
задача конфиденциального делопроизводства
регулирует обеспечение сохранности и
конфиденциальности документированной
информации, что требует создания и
поддержания специальных условий
хранения, обработки и обращения
документов, гарантирующих надежную
защиту как самих документов, так и
содержащейся в них информации. Достигается
это путем организации специального
режима хранения конфиденциальных
документов и обращения с ними, установления
разрешительной системы доступа к
конфиденциальным документам, разработки
жесткой регламентированной технологии
издания и обработки конфиденциальных
документов и другими мерами, направленными
на предотвращение утраты и утечки
документированной информации.

Принципы

Конфиденциальное

делопроизводство

в

целом

базируется

на
тех
же

принципах,

что
и
открытое

делопроизводство,

но
в
то
же
время

имеет

отличия,

обусловленные

конфиденциальностью

документированной

информации.

Эти

отличия
касаются
сферы
конфиденциального
делопроизводства

и
охватываемых
им
видов
работ
с
документами.

По
сфере деятельности открытое делопроизводство
распространяется на управленческие
действия и включает в основном
управленческие документы.

Конфиденциальное
делопроизводство в силу условий работы
с конфиденциальными документами
распространяется как на управленческую,
так и на различные виды производственной
деятельности, включает не только
управленческие, но и научно-технические
документы (научно-исследовательские,
проектные, конструкторские, технологические
и др.). Кроме того, конфиденциальное
делопроизводство распространяется не
только на официальные документы, но и
на их проекты, различные рабочие записи,
не имеющие всех необходимых реквизитов,
но содержащие информацию, подлежащую
защите.

По
видам работ конфиденциальное
делопроизводство отличается от открытого,
с одной стороны, большим их количеством,
с другой, — содержанием и технологией
выполнения многих видов. Помимо этого,
третья составляющая конфиденциального
делопроизводства — защита содержащейся
в конфиденциальных документах информации
— вообще не предусмотрена в определении
открытого делопроизводства, хотя
определяемая собственником часть
открытой информации должна защищаться
от утраты. Конфиденциальная информация
должна защищаться и от утраты, и от
утечки.

Сущность
конфиденциального делопроизводства
обусловливает его особенности, к числу
основных из которых относятся:

·
письменное нормативное закрепление
общей технологии документирования,
организации работы с документами и их
защиты;

·
жесткое регламентирование состава
издаваемых документов и содержащейся
в них конфиденциальной информации, в
том числе на стадии подготовки черновиков
и проектов документов;

·
обязательный поэкземплярный и полистный
учет всех, без исключения, документов,
проектов и черновиков;

·
максимально необходимая полнота
регистрационных данных о каждом
документе;

·
фиксация движения и местонахождения
каждого документа;

·
проведение систематических проверок
наличия документов;

·
разрешительная система доступа к
документам и делам, обеспечивающая
правомерное и санкционированное
ознакомление с ними;

·
жесткие требования к условиям хранения
документов и обращения с ними, которые
должны обеспечивать сохранность и
конфиденциальность документированной
информации;

·
регламентация обязанностей лиц,
допущенных к работе с конфиденциальной
документированной информацией, по ее
защите;

·
персональная и обязательная ответственность
за учет, сохранность документов и порядок
обращения с ними.

Эти
особенности оказывают существенное
влияние на структуру, организацию и
технологию конфиденциального
делопроизводства.

Структура

Существует
перечень сведений конфиденциального
характера:

—
Сведения о фактах, событиях и обстоятельствах
частной жизни гражданина, позволяющие
идентифицировать его личность
(персональные данные), за исключением
сведений, подлежащих распространению
в средствах массовой информации в
установленных федеральными законами
случаях.

—
Сведения, составляющие тайну следствия
и судопроизводства.

—
Служебные сведения, доступ к которым
ограничен органами государственной
власти в соответствии с Гражданским
кодексом РФ и федеральными законами
(служебная тайна).

—
Сведения, связанные с профессиональной
деятельностью, доступ к которым ограничен
в соответствии с Конституцией РФ и
федеральными законами (врачебная,
нотариальная, адвокатская тайна, тайна
переписки, телефонных переговоров,
почтовых отправлений, телеграфных или
иных сообщений и т. д.).

—
Сведения, связанные с коммерческой
деятельностью, доступ к которым ограничен
в соответствии с Гражданским кодексом
РФ и федеральными законами (коммерческая
тайна).

—
Сведения о сущности изобретения, полезной
модели или промышленного образца до
официальной публикации информации о
них.

Обеспечение
защиты конфиденциальной информации
включает в себя:

—
разработку инструкций по соблюдению
режима конфиденциальности для лиц,
допущенных к КТ;

—
ограничение доступа к носителям
информации, содержащим КТ;

—
ведение делопроизводства, обеспечивающего
выделение, учет и сохранность документов,
содержащих КТ;

—
использование организационных,
технических и иных средств защиты КТ;

—
осуществление контроля за соблюдением
установленного режима охраны КТ.

Допуск
работника к конфиденциальной информации
осуществляется с его согласия. Работодатель
имеет право отказать в приеме на работу
тому, кто не хочет брать на себя
обязательства по сохранению коммерческой
тайны.

Все
сотрудники фирмы должны при поступлении
на работу подписать обязательство или
договор о неразглашении коммерческой
тайны и об ответственности за ее
сохранность. В этом документе основными
являются следующие обязательства:

—
не разглашать сведения, составляющие
КТ, которые будут доверены, или станут
известны при исполнении служебных
обязанностей, в том числе в течение
определенного срока после увольнения
из фирмы;

—
соблюдать доведенные до сведения
сотрудника требования по защите КТ;

—
не использовать сведения, составляющие
КТ, без согласия ее владельца.

Обязательство
составляется в одном экземпляре и
хранится в специальном или личном деле
работника не менее 5 лет после его
увольнения.

Для
обеспечения защиты документированной
информации также необходимо:

—
на первом этапе определить конкретный
состав информации, содержащей
конфиденциальные сведения в организации
и составить «Перечень сведений, содержащих
конфиденциальную информацию», введя
его в действие приказом руководителя;

—
на втором этапе уже на основании этого
перечня – составляется список конкретных
конфиденциальных документов, требующих
простановки на них грифа ограничения
доступа и более строгих правил работы;

—
в том числе, должно быть установлено:
кто и на какой стадии работы имеет право
и должен проставлять на проекте документа
гриф о его конфиденциальности;

—
прежде чем получить доступ к конфиденциальным
сведениям и документам, должностные
лица должны под расписку ознакомиться
с этим перечнем сведений и списком
документов;

—
пройти инструктаж о сохранности
конфиденциальной информации и быть
предупреждены об ответственности за
ее утечку;

—
при этом могут налагаться ограничения
на контакты с прессой и другими лицами,
не владеющими той или иной конфиденциальной
информацией;

—
с сотрудников может быть взята подписка
с обязательством не разглашать, сведения
конфиденциального характера и в течении
определенного времени после увольнения
из организации.

Как
правило, в каждой организации утверждается
самостоятельная, учитывающая ее
специфику, делопроизводственная
инструкция о работе с документами,
содержащими конфиденциальную информацию.

Для
ограничения доступа к информации,
содержащей конфиденциальные сведения,
руководитель издает специальный приказ
о введении «Перечня сведений, содержащих
КТ предприятия», мер по охране этих
сведений, установлению круга лиц, имеющих
доступ к этой информации, и правил работы
с документами, имеющими гриф «КТ».
Сотрудники предприятия должны под
расписку ознакомиться с приказом и
приложениями к нему.

Нормативная
основа

Нормативно-правовая
основа базируется в первую очередь на
Конституции как основном законе
Российской Федерации). Статья 23 Конституции
РФ гарантирует право на личную, семейную
тайну, тайну переписки, телефонных
переговоров, почтовых, телеграфных и
иных сообщении. При этом ограничение
этого права допускается только на
основании судебного решения. Конституцией
РФ не допускается (ст.24) сбор, хранение,
использование и распространение
информации о частной жизни лица без его
согласия.

Нормы
регулирования отношений, возникающих
при обращении с конфиденциальной
информации, содержатся также в Гражданском
кодексе РФ. При этом конфиденциальная
информация относится в Гражданском
кодексе РФ к нематериальным благам
(ст.150).

Критерии,
по которым сведения относятся к служебной
и коммерческой тайне, содержатся в
ст.139 Гражданского кодекса РФ. Она гласит,
что информация составляет служебную
или коммерческую тайну в случае, когда:

1.
Эта информация имеет действительную
или потенциальную ценность в силу
неизвестности ее третьим лицам;

2.
К этой информации нет свободного доступа
на законном основании и обладатель
информации принимает меры к охране ее
конфиденциальности.

Кроме
того, определение конфиденциальности
коммерческой информации содержится в
ст.727 Гражданского кодекса РФ.

27
июля 2006 года были приняты два важнейших
для сферы защиты информации конфиденциального
характера федеральных закона: № 149-ФЗ
«Об информации, информационных
технологиях и о защите информации»
и № 152-ФЗ «О персональных данных».
В них даны базовые понятия информации
и ее защиты. Такие как «информация»,
«конфиденциальность информации»,
«персональные данные» и т.д.

Основными
в области безопасности конфиденциальной
информации также являются законы РФ:

1.
«О государственной тайне» от 22 июля
2004 г.;

2.
«О коммерческой тайне» от 29 июля
2004 (он содержит в себе информацию,
составляющую коммерческую тайну, режим
коммерческой тайны, разглашение
информации, составляющую коммерческую
тайну);

3.
«Об утверждении Перечня сведений
конфиденциального характера»;

4.
Об утверждении Перечня сведении, которые
не могут составлять коммерческую тайну».

Стандарт,
закрепляющий основные термины и
определения в области защиты информации
— ГОСТ Р 50922-96.

1. Виды
   конфиденциальных документов. Грифы
   секретности, применяемые в конфиденциальном
   делопроизводстве Российской Федерации.

Термин
«конфиденциальный» означает: секретный,
доверительный, закрытый, защищенный,
то есть документ, к которому ограничен
доступ персонала. Конфиденциальный
документ содержит сведения, не относящиеся
к государственной тайне, а составляющий
интеллектуальную собственность
юридического или физического лица. К
ней относится коммерческая и служебная
тайна. Еще существует государственная
тайна и личная тайна.

Обязательным
признаком конфиденциального документа
является наличие в нем информации,
подлежащей защите.

Особенностью
конфиденциального документа является
то, что он представляет собой одновременно
не только саму информацию – обязательный
объект защиты, но и массовый носитель
информации, основной источник накопления
и распространения этой информации, в
том числе и утечки. То есть конфиденциальна,
прежде всего, информация, а уже затем
становятся конфиденциальными и документы,
в которых эта информация зафиксирована.

Виды
конфиденциальных документов.

По
своей природе конфиденциальные документы
бывают:

—
нормативно-методические (НМД);

—
руководящие (РД);

—
распорядительные (РПД);

—
информационно-справочные (ИСД);

—
организационные (ОД);

—
финансово-бухгалтерские (ФБД);

—
кадровые (по личному составу) КД.

Правила
оформления реквизитов регламентированы
ГОСТом «Унифицированная система
организационно-распорядительной
документации. Требования к оформлению
документов». (ГОСТ Р 6.30-97). Конфиденциальные
документы, содержащие коммерческую
тайну, должны иметь гриф ограничения
доступа к документу. Он располагается
в правом верхнем углу, например:
коммерческая тайна (или сокращенно КТ).
Дополняется гриф номером экземпляра,
например, экз. №1.

Конфиденциальные
документы должны обрабатываться в
конфиденциальном делопроизводстве
фирмы, либо в общем делопроизводстве,
специально назначенным должностным
лицом, ответственным за конфиденциальные
документы. Конфиденциальные документы
должны храниться в отдельном помещении
в запираемых и опечатываемых шкафах.
Допускается хранение конфиденциальных
документов в общем делопроизводстве.
Но обязательно они должны находиться
отдельно от других дел делопроизводства.

В
зависимости от назначения конфиденциальные
документы подразделяются на:

—
входящие;

—
исходящие;

—
внутренние.

Прием
входящих конфиденциальных документов
осуществляется сотрудником конфиденциального
делопроизводства.

При
этом проверяется:

—
количество листов;

—
количество экземпляров;

—
наличие приложений (если они указаны в
сопроводительном письме).

В
случае отсутствия в пакете (конверте)
некоторых перечисленных документов —
составляется акт в 2-х экземплярах. Один
экземпляр акта отправляется в адрес
отправителя.

Регистрация
конфиденциальных документов производится
в журналах регистрации (рис. 4), либо на
карточках.

Рис.
4. Журнал регистрации входящих
конфиденциальных документов

На
каждом зарегистрированном документе
должен проставляться штамп, в котором
указывается:

—
наименование;

—
регистрационный номер;

—
дата поступления.

После
регистрации документы передаются
руководству фирмы для принятия решения.
Руководитель после рассмотрения
документа определяет исполнителя и
дает указания по исполнению документа.
Эти указания оформляются на самом
документе в виде резолюции.

С
резолюцией руководителя конфиденциальный
документ передается исполнителю под
расписку в журнале регистрации входящих
конфиденциальных документов.

По
завершении работы над документом на
нем проставляется отметка о его исполнении
и направлении в дело. После чего документ
сотрудником конфиденциального
делопроизводства подшивается в дело.

Решение
о дальнейшем использовании конфиденциального
документа определяется его значением
и практической ценностью. В зависимости
от этого конфиденциальные документы
могут:

—
использоваться в дальнейшем;

—
передаваться в архив на хранение;

—
уничтожаться.

Все
эти действия должны выполняться с
соблюдением требований к конфиденциальным
документам.

Работа
с конфиденциальными исходящими
документами включает следующие этапы:

—
разработка проекта документа;

—
согласование документа;

—
подписание документа;

—
регистрация документа;

—
отправка документа.

Проект
исходящего конфиденциального документа
разрабатывается исполнителем документа
в 2-х экземплярах и по необходимости
согласовывается с другими специалистами
фирмы. Далее проект документа
предоставляется на подпись руководителю
фирмы. После подписания документа, он
регистрируется сотрудником конфиденциального
делопроизводства в журнале (карточке)
регистрации исходящих конфиденциальных
документов. Рассылка конфиденциальных
документов осуществляется согласно
подписанных руководителем списков с
обязательным указанием учетных номеров
отправленных документов.

Выдача
и возврат конфиденциальных документов
должны своевременно отражаться в журнале
учета и выдачи конфиденциальных
документов.

При
получении конфиденциального документа
сотрудник должен сверить номер полученного
документа с его номером в журнале,
проверить количество листов и расписаться
за полученный документ. При возврате
конфиденциального документа сотрудник
конфиденциального делопроизводства
должен сверить номер этого документа
с номером в журнале, проверить количество
листов документа и в присутствии
сотрудника, возвращающего документ
поставить в журнале (в соответствующей
графе) свою подпись и дату возврата
документа.

Все
дела с конфиденциальными документами
и журналы их учета вносятся в номенклатуру
дел фирмы.

По
окончании каждого года руководителем
фирмы создается комиссия, которая
должна:

—
проверить наличие конфиденциальных
документов;

—
определить конфиденциальные документы
для архивного хранения;

—
определить конфиденциальные документы,
подлежащие уничтожению.

Архивное
хранение конфиденциальных документов
производится в опечатанных коробках,
в помещениях, исключающих несанкционированный
доступ посторонних лиц. На конфиденциальные
документы, отобранные к уничтожению
комиссией, составляет акт. Акт утверждается
руководителем фирмы.

В
случае утери конфиденциального документа
руководителем фирмы создается комиссия,
которая проводит расследование по факту
утраты данного документа. По результатам
работы комиссии руководителем фирмы
принимается решение о привлечении к
ответственности лиц виновных в утрате
конфиденциального документа.

Грифы
секретности, применяемые в конфиденциальном
делопроизводстве Российской Федерации.

Грифами
ограничения доступа конфиденциального
делопроизводства являются: грифы
«Коммерческая тайна (КТ)», «Строго
конфиденциально», «Не для печати»,
«Конфиденциально».

1. Информационная
   безопасность и защита информации в
   Российской Федерации: понятие, технологии,
   методы, нормативная основа.

Понятие

Информационная
безопасность — это защищенность
информации и поддерживающей ее
инфраструктуры от случайных или
преднамеренных воздействий естественного
или искусственного характера, которые
могут нанести неприемлемый ущерб
владельцам и пользователям информации.

Защита
информации– это комплекс мероприятий,
направленных на обеспечение информационной
безопасности.

Обеспечение
информационной безопасности является
сложной задачей, для решения которой
требуется комплексный подход. Выделяют
следующие уровни защиты информации:

—
законодательный – законы, нормативные
акты и прочие документы РФ и международного
сообщества;

—
административный – комплекс мер,
предпринимаемых локально руководством
организации;

—
процедурный уровень – меры безопасности,
реализуемые людьми;

—
программно-технический уровень –
непосредственно средства защиты
информации.

Технологии

К
основным организационным технологиям
(мероприятиям, направлениям) можно
отнести:

• организацию
  режима и охраны.Их цель — исключение
  возможности тайного проникновения на
  территорию и в помещения посторонних
  лиц; обеспечение удобства контроля
  прохода и перемещения сотрудников и
  посетителей; создание отдельных
  производственных зон по типу
  конфиденциальных работ с самостоятельными
  системами доступа; контроль и соблюдение
  временного режима труда и пребывания
  на территории персонала фирмы; организация
  и поддержание надежного пропускного
  режима и контроля сотрудников и
  посетителей и др.;

• организацию
  работы с сотрудниками, которая
  предусматривает подбор и расстановку
  персонала, включая ознакомление с
  сотрудниками, их изучение, обучение
  правилам работы с конфиденциальной
  информацией, ознакомление с мерами
  ответственности за нарушение правил
  защиты информации и др.;

• организацию
  работы с документами и документированной
  информацией, включая организацию
  разработки и использования документов
  и носителей конфиденциальной информации,
  их учет, исполнение, возврат, хранение
  и уничтожение;

• организацию
  использования технических средств
  сбора, обработки, накопления и хранения
  конфиденциальной информации;

• организацию
  работы по анализу внутренних и внешних
  угроз конфиденциальной информации и
  выработке мер по обеспечению ее защиты;
  

• организацию
  работы по проведению систематического
  контроля за работой персонала с
  конфиденциальной информацией, порядком
  учета, хранения и уничтожения документов
  и технических носителей.

Методы

Общие
методы обеспечения информационной
безопасности Российской Федерации
разделяются на правовые,
организационно-технические и экономические.

К
правовым методамобеспечения
информационной безопасности Российской
Федерации относится разработка
нормативных правовых актов, регламентирующих
отношения в информационной сфере, и
нормативных методических документов
по вопросам обеспечения информационной
безопасности Российской Федерации.

Организационно-техническими
методамиобеспечения информационной
безопасности Российской Федерации
являются, например, создание и
совершенствование системы обеспечения
информационной безопасности Российской
Федерации, разработка, использование
и совершенствование средств защиты
информации и методов контроля эффективности
этих средств, развитие защищенных
телекоммуникационных систем, повышение
надежности специального программного
обеспечения, создание систем и средств
предотвращения несанкционированного
доступа к обрабатываемой информации и
специальных воздействий, вызывающих
разрушение, уничтожение, искажение
информации, а также изменение штатных
режимов функционирования систем и
средств информатизации и связи,
сертификация средств защиты информации,
лицензирование деятельности в области
защиты государственной тайны,
стандартизация способов и средств
защиты информации и т.п.

Экономические
методыобеспечения информационной
безопасности Российской Федерации
включают в себя:

разработку
программ обеспечения информационной
безопасности Российской Федерации и
определение порядка их финансирования;

совершенствование
системы финансирования работ, связанных
с реализацией правовых и
организационно-технических методов
защиты информации, создание системы
страхования информационных рисков
физических и юридических лиц.

Нормативная
основа

Первый
уровень правовой основы защиты информации

Первый
уровень правовой охраны и защиты
информации состоит из международных
договоров о защите информации и
государственной тайны, к которым
присоединилась и Российская Федерация
с целью обеспечения надежной информационной
безопасности РФ. Кроме того, существует
доктрина информационной безопасности
РФ, поддерживающая правовое обеспечение
информационной безопасности нашей
страны.

Правовое
обеспечение информационной безопасности
РФ:

• Международные
  конвенции об охране информационной
  собственности, промышленной собственности
  и авторском праве защиты информации в
  Интернете;

• Конституция
  РФ (ст.23 определяет право граждан на
  тайну переписки, телефонных, телеграфных
  и иных сообщений);

• Гражданский
  кодекс РФ (в ст.139 устанавливается право
  на возмещение убытков от утечки с
  помощью незаконных методов информации,
  относящейся к служебной и коммерческой
  тайне);

• Уголовный
  кодекс РФ (ст.272 устанавливает
  ответственность за неправомерный
  доступ к компьютерной информации,
  ст.273 — за создание, использование и
  распространение вредоносных программ
  для ЭВМ, ст.274 — за нарушение правил
  эксплуатации ЭВМ, систем и сетей);

• Федеральный
  законы:

• Федеральный
  закон от 27 июля 2006 г. № 149-ФЗ «Об
  информации, информационных технологиях
  и о защите информации» (устанавливает
  разнесение информационных ресурсов
  по категориям доступа: открытая
  информация, государственная тайна,
  конфиденциальная информация, ст.21
  определяет порядок защиты информации);

• ФЗ
  «О государственной тайне» от
  21.07.93 № 5485-1 (ст.5 устанавливает перечень
  сведений, составляющих государственную
  тайну; ст.8 — степени секретности сведений
  и грифы секретности их носителей:
  «особой важности», «совершенно
  секретно» и «секретно»; ст.20 —
  органы по защите государственной тайны,
  межведомственную комиссию по защите
  государственной тайны для координации
  деятельности этих органов; ст.28 — порядок
  сертификации средств защиты информации,
  относящейся к государственной тайне);

• ФЗ
  «О лицензировании отдельных видов
  деятельности» от 08.08.2001 № 128-ФЗ,

• ФЗ
  «О связи» от 16.02.95 № 15-ФЗ,

Таким
образом, правовое обеспечение
информационной безопасности весьма на
высоком уровне, и многие компании могут
рассчитывать на полную экономическую
информационную безопасность и правовую
охрану информации, и защиту, благодаря
ФЗ о защите информации.

Второй
уровень правовой защиты информации

На
втором уровне правовой охраны информации
и защиты (ФЗ о защите информации) — это
подзаконные акты: указы Президента РФ
и постановления Правительства, письма
Высшего Арбитражного Суда и постановления
пленумов ВС РФ.

Третий
уровень правового обеспечения системы
защиты экономической информации

К
данному уровню обеспечения правовой
защиты информации относятся ГОСТы
безопасности информационных технологий
и обеспечения безопасности информационных
систем.

Также
на третьем уровне безопасности
информационных технологий присутствуют
руководящие документы, нормы, методы
информационной безопасности и
классификаторы, разрабатывающиеся
государственными органами.

Четвертый
уровень стандарта информационной
безопасности

Четвертый
уровень стандарта информационной
безопасности защиты конфиденциальной
информации образуют локальные нормативные
акты, инструкции, положения и методы
информационной безопасности и документация
по комплексной правовой защите информации
рефераты по которым часто пишут студенты,
изучающие технологии защиты информации,
компьютерную безопасность и правовую
защиту информации.

1. Информационное
   обеспечение управления: понятие, цели,
   задачи, функции, правовые акты.

Под
ИОУ
в структуре организации понимается
совмещение информационных и технологических
процессов, дающий в соответствии фактор
улучшения в вопросах использования
информационных технологий и технологических
средств управления.

Цель:
повышение качества управления организацией
на основе повышения достоверности и
своевременности данных, необходимых
для принятия управленческих решений;
методические и практические разработки,
внедрение и совершенствование ДОУ, в
условиях широкого использования
современной вычислительной и оргтехники
и новых информационных технологий.

Задачи:

1.
информация должна быть доставлена во
время;

2.
обеспечение объективности и полноты,
своевременности информации;

3.
обеспечение той информацией, которая
нужна для принятия решений (отсеивание
информационного шума);

4.
исключение дублирования информации;

5.
представление данных в едином и удобном
для восприятия формате;

6.
многократное использование полученной
информации;

7.
постоянное обновление данных.

8.
изучение унифицированных систем
документации;

9.
изучение классификаторов технико-экономических
и социальных.

10.
изучение приемов разработки и применения
системы УСД классификаторов ДОУ.

Функции

Специалисты
выделяют следующие основные функции
управления:

— планирование;

— календарно-плановое
руководство;

— оперативное
управление;

— контроль.

Некоторые
специалисты выделяют также такие
функции, как мотивация, регулирование
и др. С точки зрения информационного
обеспечения процесса управления,
выделенные функции являются наиболее
важными. В данном пособии мы ограничимся
их рассмотрением.

Планирование
представляет
собой процесс создания планов и
определение необходимых ресурсов для
их реализации. Планирование включает
в себя:

— определение
целей и задач;

— разработку
стратегий, программ и планов для
достижения поставленных целей;

— определение
необходимых ресурсов;

— доведение
планов до конкретных исполнителей,
ответственный за их реализацию.

Планы
должны носить обязательный характер
для всех сотрудников и подразделений
предприятия. Необходимо обеспечить
сочетание и взаимосвязь различных видов
планов (долгосрочных, среднесрочных,
краткосрочных).

Планы
должны быть конкретными. Это означает
четкое определение целей и задач, а
также рациональных путей, методов и
способов их достижения.

Также
следует установить ответственность
конкретных лиц за организацию и выполнение
плановых мероприятий. Должны быть
определены оптимальные и реальные сроки
исполнения планов и выделены необходимые
для этого ресурсы.

Планы
должны быть гибкими, т. е. иметь возможность
корректировки при возникновении новых
неучтенных обстоятельств.

Таким
образом, планирование позволяет
организовать работу предприятия по
решению первостепенных, наиболее важных
вопросов в конкретный период времени,
а также повысить ответственность
исполнителей за порученную им работу
и улучшить контроль за выполнением
плана.

Календарно-плановое
руководство
заключается в слежении за выполнением
плана.

Данная
управленческая функция реализуется в
двух направлениях: регулирование и
координация.

Регулирование
— это процесс устранения отклонений
текущих показателей от плановых.

Координация
добивается согласованности действий
во времени и пространстве структуры
управления и внешней среды.

Содержание
функции календарно-планового руководства
можно выразить совокупностью следующих
обобщенных задач:

— формирование
и поддержание условий для выполнения
плановых заданий;

— слежение
за ходом выполнения плана и анализ
полученной информации;

— анализ
и оценка изменений в условиях и ходе
выполнения плана;

— выработка
вариантов корректирующих воздействий;

— разработка,
документальное и организационное
оформление принятых корректирующих
мер.

Оперативное
управление
заключается в осуществлении следующих
процессов:

— непрерывное
распознавание ситуации относительно
элементов системы управления;

— сбор
и обработка оперативной информации о
состоянии системы и ее элементов,
создание банков данных;

— анализ
и прогнозирование развития ситуации;

— принятие
решения по оперативному вмешательству
в функционирование системы;

— разработка
предложений по корректировке плановых
решений по функционированию системы;

— оформление
соответствующих отчетных документов.

Неотъемлемой
частью оперативного управления является
процесс принятия управленческих решений.

Принятие
решений играет важную роль и при
выполнении других функций управления.
Так, например, на этапе принимаются
важные стратегические решения, касающиеся
перспектив развития организации. Однако
наибольшее значение процесс принятия
решений имеет на уровне оперативного
управления.

Контроль,
основной задачей которого является
определение допустимых отклонений,
фиксирование и быстрое их устранение,
можно разделить на два этапа: слежение
за выполнением намеченных планом работ
и корректирование всех значительных
отклонений от плана.

Специалисты
выделяют три стадии контроля:
предварительная, текущая и заключительная.

Предварительный
контроль осуществляется до начала
плановых работ, когда тщательно
оценивается выполнение функций
подразделениями и должностных обязанностей
исполнителями.

Текущий
контроль заключается в оценке деятельности
подразделений и конкретных исполнителей.

В
ходе заключительного контроля
осуществляется анализ ошибок и определение
мер поощрения или наказания исполнителей.
Эта стадия дает руководству информацию,
необходимую для дальнейшего планирования.

Основные
инструменты контроля — наблюдение,
проверка, учет и анализ. В процессе
управления контроль является элементом
обратной связи, так как по его данным
производится корректировка ранее
принятых решений, планов, норм и
нормативов. Правильно поставленный
контроль должен иметь стратегическую
направленность, ориентироваться на
конечный результат, быть своевременным,
объективным и достаточно простым.

Правовые
акты

Нормативно-методическая
база ИОУ – это совокупность законов,
нормативных правовых актов и методических
документов, регламентирующих технологии
созданий документов, их обработки,
хранения и использования в текущей
деятельности организации.

Если вовремя не внедрить систему безопасности, можно столкнуться с тремя критическими последствиями: утечкой пользовательских данных, техногенной катастрофой или остановкой обеспечения услуг компании. После этого бизнес рискует столкнуться с куда более опасными проблемами, чем кибератаки.

Чтобы защитить себя в этой области, организациям уже сейчас стоит подумать, какие средства выбрать для защиты и каких атак стоит опасаться больше всего. Об этом рассказал Андрей Голов, генеральный директор «Кода Безопасности».

Содержание:

• Что такое «информационная безопасность предприятия»?
• Как осуществить контроль информационной безопасности?
• Виды угроз информационной безопасности
• Средства защиты информации
• Обеспечение информационной безопасности предприятий
• Этапы внедрения системы безопасности
• Организационные меры
• Режим коммерческой тайны
• Технические меры
• Итог: как выбрать комплекс мер по информационной безопасности в организации?

Что такое «информационная безопасность предприятия»?

Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:

1. Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения. 
2. Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери. 
3. Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно. 

Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует? 

Это могут быть: 

• малоквалифицированные студенты, 
• спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача. 

То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.

Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.

Как осуществить контроль информационной безопасности?

Есть несколько способов в организации защиты информационной безопасности: 

• Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его. 
• Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
• Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.

Виды угроз информационной безопасности

Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми. 

Среди них можно выделить: 

• вредоносное ПО (шифровальщики, вирусы, троянцы);
• SQL-инъекции (фишинг, DoS, перехват данных). 

Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов: 

• Какими ресурсами располагают злоумышленники?
• Сколько времени они готовы потратить на атаку?

Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям. 

Средства защиты информации

На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры. 

Они относятся:

• к контролю доступа, 
• защите данных и приложений, 
• обнаружению и реагированию на инциденты.

Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту. 

Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур. 

Обеспечение информационной безопасности предприятий

В построении системы информационной безопасности организации средства защиты не занимают ведущую роль. 

Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны. 

Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.

Этапы внедрения системы безопасности

Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством. 

Затем анализ продолжается: 

• нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия, 
• понять, какие ИТ-системы их поддерживают. 

Финальный этап — определение возможных инструментов защиты. 

К недопустимым последствиям относятся: 

1. Утечка данных пользователей;
2. Техногенные катастрофы;
3. Остановка обеспечения услуг компании. 

Организационные меры

Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами. 

Скажем, инструкция по работе с интернетом и жесткое требование: 

• не кликать по ссылкам в почте и мессенджерах; 
• менять пароль каждые полгода; 
• не использовать один и тот же пароль для разных сервисов. 

Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.

Режим коммерческой тайны

Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные. 

В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют. 

В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.

Технические меры

ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву. 

На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему. 

Итог: как выбрать комплекс мер по информационной безопасности в организации?

Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов. 

Компания должна понимать:

• Какие ИБ-события она не может допустить;
• Удар по каким бизнес-процессам станет критическим;
• Какие ИТ-системы поддерживают эти процессы. 

Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов. 

При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.

Фото на обложке сгенерировано с помощью нейросети Midjourney

Слово «комплаенс» пришло из английского языка. По сути, это комплекс мер, которые помогают предотвратить нарушения законов или внутренних правил компании. От каких рисков защищает компанию комплаенс и кто его должен настроить, рассказывает Сергей Таут, эксперт юридической компании «Пепеляев Групп».

Сергей, что сегодня понимают под комплаенс-системой? Есть ощущение, что разные эксперты вкладывают в это понятие разное.

Сейчас в законодательстве нет единого определения для термина «комплаенс». На мой взгляд, комплаенс можно определить как корпоративную политику для предупреждения противозаконных действий сотрудников компании.

Комплаенс-система организации — это комплекс положений, политик и инструкций, которые направлены на соблюдение закона или локальных актов компании в разных сферах. Например, в налоговой, антимонопольной, антикоррупционной, санкционной. Одна из самых востребованных комплаенс-систем — антикоррупционная.

И это неудивительно, ведь меры по предупреждению коррупции обязаны принимать все российские организации (ст. 13.3 Федерального закона от 25.12.2008 № 273-ФЗ. — Примеч. ред.).

Каким организациям понадобится настроить у себя комплаенс-систему?

Я бы порекомендовал настроить комплаенс-систему в каждой компании. Закон и внутренние правила компании должны соблюдать работники любой компании.

А если у компании небольшой доход и малая численность сотрудников?

Иногда руководители полагают, что обязанность принимать меры по предупреждению коррупции зависит от численности сотрудников, формы предприятия, отрасли. Это не так.

Допустим, у компании нет комплаенс-системы. Какие могут быть последствия?

Приведу пример из практики. Прокурорская проверка на малом производственном предприятии показала, что компания не разрабатывает и не принимает никаких антикоррупционных мер. Прокурор обратился в суд, и организацию обязали это сделать. Директор не согласился с решением и подал апелляционную жалобу. В ней сообщил, что меры не разрабатывались из-за маленькой численности предприятия — до 15 человек. Суд апелляционной инстанции отказал компании, ссылаясь на то, что обязанность принимать антикоррупционные меры не зависит от численности работников.

Организацию привлекли к административной ответственности за неисполнение прокурорского представления.

От каких рисков защищает компанию комплаенс-система?

Зависит от того, какие виды комплаенса она внедрит. Ориентироваться надо на ту сферу, в которой у компании больше всего рисков.

Например, для малых компаний, которые не участвуют в тендерах, вряд ли будут актуальными риски, возникающие в сфере закупок товаров для государственных нужд. И наоборот, для организации, которая регулярно участвует в тендерах, такие риски будут важны.

Значит, комплаенс-служба должна обращать внимание на предотвращение нарушений именно в этой сфере. Для каждой компании существует свой «вес» таких рисков, а они зависят от бизнес-процессов.

Нужно ли малому бизнесу настраивать разные виды комплаенса?

Малому бизнесу не стоит увлекаться попыткой внедрения всех существующих комплаенс-функций. Главная задача комплаенса в том, чтобы он был эффективным, а не просто существовал на бумаге или, наоборот, перегружал бизнес излишним контролем.

Кто в компаниях отвечает за комплаенс: самостоятельное подразделение, юристы, бухгалтерия, служба безопасности?

Чаще всего функции комплаенса выполняют сотрудники правового отдела. Но на мой взгляд, лучше организовывать самостоятельное подразделение, которое напрямую подчиняется главе компании.

К примеру, таким подразделением может стать комплаенс-служба.

Это более верное решение, поскольку комплаенс требует полной независимости, в том числе от юристов и руководителей других направлений. Ведь главная функция комплаенса — это генеральный контроль всех бизнес-процессов и принимаемых решений в компании.

С чего начать построение комплаенс-системы?

Во-первых, определите подразделение и лиц, ответственных за организацию работы. К примеру, это могут быть самостоятельная комплаенс-служба или специалист в составе юридического отдела. Во-вторых, необходимо разработать и принять локальные акты. К примеру, в сфере антикоррупционного комплаенса — это кодекс деловой этики и антикоррупционная политика. В-третьих, ознакомьте работников со всеми локальными актами. Будет лучше, если компания проведет обучение с последующей оценкой знаний.
В-четвертых, регулярно отслеживайте и устраняйте риски. Необходимо выделить критические точки для каждого бизнес-процесса и оставить описание возможных опасных ситуаций — карту рисков.

Желательно автоматизировать проверку сотрудников и контрагентов на конфликт интересов и негативную информацию, проверять их благонадежность. А еще мониторить служебную переписку и ввести практику электронного декларирования. Это минимальный набор мероприятий, чтобы система контроля полноценно заработала.

Как понять, что комплаенс неэффективен?

Это просто. Если цели, для которых создавалась комплаенс-система, достигнуты, значит, она эффективна. Руководителям стоит проанализировать, сколько выявлено нарушений и сколько из них удалось избежать. Проверить, знают ли сотрудники нормы принятых в организации документов. Это даст реальную картину и поможет оценить эффективность комплаенс-функции любой организации.

Обязательно автоматизировать комплаенс или можно оставить эту работу ручной?

Будет гораздо проще, если автоматизируете комплаенс-систему. Ручная работа очень объемная, и за всем уследить сложно. Как правило, ручной комплаенс — неэффективный.

К чему может привести отсутствие автоматизации?

У меня был такой случай. В одной крупной компании к созданию комплаенс-системы подошли формально. Приняли кодекс этики и антикоррупционную политику, но, к сожалению, это был классический случай бумажного комплаенса. В компании были заведены подарки от клиентов и от поставщиков компании, допускалось неформальное общение с руководством контрагентов, нарушались закупочные процедуры, не контролировался конфликт интересов.

В итоге выяснилось, что один высокопоставленный менеджер уже несколько лет берет откаты с поставщиков рекламных услуг.

Руководство пригласило нашу компанию для проведения внутреннего расследования. В результате нам удалось изобличить сотрудника-коррупционера, собрать доказательства его недобросовестного поведения и расторгнуть с ним трудовой договор.
А вот если бы комплаенс-система работала должным образом, такую ситуацию можно было бы предотвратить. Или хотя бы выявить на ранней стадии, избежав многомиллионного ущерба.

Какие есть программы по выявлению и анализу рисков?

На сегодняшний день существует много инструментов автоматизации по различным направлениям комплаенса: проверка сотрудников и контрагентов на благонадежность и репутационную информацию, выявление конфликта интересов, электронное декларирование, контроль служебной переписки, внутренние расследования, проверка закупок и многое другое. К примеру, мы совместно с «Лабораторией Касперского» создали такой продукт на базе Transparent Deal, он уже поставляется клиентам, и мы постоянно работаем над его совершенствованием.

Источник: «Главбух»

Обновлено: 19.05.2023

В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня — ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность. Угроз безопасности информационных ресурсов предприятия много: это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности.

Понятие информационной безопасности

На сегодняшний день существует множество определений информационной безопасности. Приведем лишь пару из них.

Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.

Цель защиты информации — минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности:

1. Угрозы конфиденциальности — несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).
2. Угрозы целостности — несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).
3. Угрозы доступности — ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки ).

Источники угроз информационной безопасности:

1. Внутренние:
   • ошибки пользователей и сисадминов;
   • ошибки в работе ПО;
   • сбои в работе компьютерного оборудования;
   • нарушение сотрудниками компании регламентов по работе с информацией.
2. Внешние угрозы:
   • несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т. п.);
   • компьютерные вирусы и иные вредоносные программы;
   • стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной и ценной информацией).

Методы и средства защиты информации

Методы обеспечения безопасности информации в информационной системе:

Средства защиты информации:

• Технические (аппаратные) средства — сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, вход в здание или помещение по ключ-карте, электронные ключи и т. д.
• Программные средства — программы-шифровальщики данных, антивирусы, брандмауэры, бэкап-системы, системы аутентификации пользователей и т. п.
• Смешанные средства — комбинация аппаратных и программных средств.
• Организационные средства — правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

Полезные ссылки

1. Галяутдинов Р. Р. Курс лекций по IT в экономике

© Копирование любых материалов статьи допустимо только при указании прямой индексируемой ссылки на источник: Галяутдинов Р.Р.

Нашли опечатку? Помогите сделать статью лучше! Выделите орфографическую ошибку мышью и нажмите Ctrl + Enter.

Аннотация: В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ » Об информации, информационных технологиях и о защите информации».

1.1. Основные понятия информационной безопасности

Прежде чем говорить об обеспечении безопасности персональных данных, необходимо определить, что же такое информационная безопасность . Термин » информационная безопасность » может иметь различный смысл и трактовку в зависимости от контекста. В данном курсе под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений , в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1].

ГОСТ » Защита информации . Основные термины и определения» вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .

• Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
• Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
• Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2,3]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, — злоумышленником. Потенциальные злоумышленники называются источниками угрозы .

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

• по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
• по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
• по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
• по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:

1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
2. административный – комплекс мер, предпринимаемых локально руководством организации;
3. процедурный уровень – меры безопасности, реализуемые людьми;
4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .

1.2. ФЗ «Об информации, информационных технологиях и о защите информации»

В российском законодательстве базовым законом в области защиты информации является ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

• осуществлении права на поиск, получение, передачу, производство и распространение информации;
• применении информационных технологий;
• обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

В статье 3 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2. установление ограничений доступа к информации только федеральными законами;
3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6. достоверность информации и своевременность ее предоставления;
7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа. К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

Закон выделяет 4 категории информации в зависимости от порядка ее предоставления или распространения:

1. информацию, свободно распространяемую;
2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Дается следующее определение защите информации — представляет собой принятие правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2. соблюдение конфиденциальности информации ограниченного доступа;
3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2. своевременное обнаружение фактов несанкционированного доступа к информации;
3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ «Об информации, информационных технологиях и о защите информации» создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Содержание

1. Понятие информационной безопасности
2. Информационная безопасность и Интернет
3 Методы обеспечения информационной безопасности
Список использованных источников

1. Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Информационная безопасность организации – состояние защищенности информационной среды организации, обеспечивающее её формирование, использование и развитие.

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека).

Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

• Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
• Целостность – избежание несанкционированной модификации информации;
• Доступность – избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

• неотказуемость или апеллируемость – невозможность отказа от авторства;
• подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий;
• достоверность – свойство соответствия предусмотренному поведению или результату;
• аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным;

Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:

1) Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.

Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.

3) Компьютерные вирусы. Отдельная категория электронных методов воздействия − компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств.

Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.

4) Спам

Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий конкурентоспособности и даже жизнеспособности любой компании.

2. Информационная безопасность и Интернет

Однако опыт работы в области компьютерных технологий полон примеров недобросовестного использования ресурсов Интернет.

Нужна помощь в написании реферата?

Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.

Специалисты говорят, что главная причина проникновения в компьютерные сети – беспечность и неподготовленность пользователей. Это характерно не только для рядовых пользователей, но и для специалистов в области компьютерной безопасности. Вместе с тем, причина не только в халатности, но и в сравнительно небольшом опыте специалистов по безопасности в сфере информационных технологий. Связано это со стремительным развитием рынка сетевых технологий и самой сети Интернет.

По данным лаборатории Касперского, около 90% от общего числа проникновений на компьютер вредоносных программ используется посредством Интернет, через электронную почту и просмотр Web‑страниц.

Особое место среди таких программ занимает целый класс – Интернет-червь. Само распространяющиеся, не зависимо от механизма работы выполняют свои основные задачи по изменению настроек компьютера-жертвы, воруют адресную книгу или ценную информацию, вводят в заблуждение самого пользователя, создают рассылку с компьютера по адресам, взятым из записной книжки, делают компьютер чьим-то ресурсом или забирают часть ресурсов для своих целей или в худшем случае самоликвидируются, уничтожая все файлы на всех дисках.

Все эти и другие с ними связанные проблемы можно решить с помощью наличия в организации проработанного документа, отражающего политику информационной безопасности компании.

В таком документе должны быть четко прописаны следующие положения:

• как ведется работа с информацией предприятия;
• кто имеет доступ;
• система копирования и хранения данных;
• режим работы на ПК;
• наличие охранных и регистрационных документов на оборудование и программное обеспечение;
• выполнение требований к помещению, где располагается ПК и рабочее место пользователя;
• наличие инструкций и технической документации;
• наличие рабочих журналов и порядок их ведения.

Кроме того, необходимо постоянно отслеживать развитие технических и информационных систем, публикуемых в периодической печати или следить за событиями, обсуждаемыми на подобных семинарах.

При необходимости подключения указанных информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю.

3. Методы обеспечения информационной безопасности

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности:

• средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
• средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
• межсетевые экраны;
• виртуальные частные сети;
• средства контентной фильтрации;
• инструменты проверки целостности содержимого дисков;
• средства антивирусной защиты;
• системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Каждое из перечисленных средств может быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей любой сложности и конфигурации, не зависящих от используемых платформ.

Нужна помощь в написании реферата?

Мы — биржа профессиональных авторов (преподавателей и доцентов вузов). Наша система гарантирует сдачу работы к сроку без плагиата. Правки вносим бесплатно.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам.

Задача данного средства защиты – обеспечение конфиденциальности.

Основные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России (или других государств).

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

Основной принцип действия межсетевых экранов − проверка каждого пакета данных на соответствие входящего и исходящего IP‑адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network – VPN).

Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам.

Использование VPN можно свести к решению трех основных задач:

1. защита информационных потоков между различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);
2. защищенный доступ удаленных пользователей сети к информационным ресурсам компании, как правило, осуществляемый через интернет;
3. защита информационных потоков между отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

Эффективное средство защиты от потери конфиденциальной информации − фильтрация содержимого входящей и исходящей электронной почты.

Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC‑сумм).

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux‑системы, Novell) на процессорах различных типов.

Для противодействия естественным угрозам информационной безопасности в компании должен быть разработан и реализован набор процедур по предотвращению чрезвычайных ситуаций (например, по обеспечению физической защиты данных от пожара) и минимизации ущерба в том случае, если такая ситуация всё-таки возникнет. Один из основных методов защиты от потери данных – резервное копирование с четким соблюдением установленных процедур (регулярность, типы носителей, методы хранения копий и т.д.).

Список использованных источников

Классификация вирусов

По способу заражения .

Зависит от самой среды. Зараженная вирусом среда называется вирусоносителем. Тело файлового вируса может находиться в конце, начале, середине или хвостовой (свободной) части последнего кластера файла.

По способу активизации:

По способу проявления:

v Очень опасные

По особенностям алгоритмов:

v Невидимки (или стелс-вирусы),

v Самомодифицирующиеся вирусы.

Файловые вирусы внедряются в исполнимые файлы и активизируются при их запуске. После запуска зараженной программы вирус находится в ОЗУ и является активным до выключения компьютера или перезагрузки ОС. Эти вирусы не могут заразить файлы данных (например, файлы, содержащие изображение или звук).

Профилактическая работа: не запускать на выполнение файлы, полученные из сомнительного источника и предварительно не проверенные антивирусными программами.

Загрузочные вирусы записывают себя в загрузочный сектор диска. При загрузке операционной системы они внедряются в ОЗУ (оперативное запоминающее устройство). Дальше работает так же, как и файловый (то есть может заражать файлы при обращении к ним компьютера).

Профилактическая работа: отказ от загрузки ОС с гибких дисков; установка в BIOS компьютера защиты загрузочного сектора от изменений.

Макровирусы заражают файлы документов Word и Excel . После загрузки зараженного документа постоянно присутствуют в памяти компьютера и могут заражать другие документы. Угроза прекращается после закрытия приложения.

Практически являются макрокомандами (макросами), которые встраиваются в документ.

Профилактическая работа: предотвращение запуска вируса.

Сетевые вирусы – это любые обычные вирусы. Например, при получении зараженных файлов с файловых серверов, через Всемирную паутину или через электронную почту.

Цепная информация распространения вируса: после заражения компьютера начинает рассылать себя по всем адресам электронной почты, которые имеются в адресной книге. Дополнительно идет сканирование локальных и сетевых дисков, и распространение по ним.

Особая разновидность вирусов – активные элементы (программы) на языках JavaScript или VBScript , которые могут выполнять разрушительные действия, то есть являться вирусами. Они передаются по Всемирной паутине в процессе загрузки веб — страниц с серверов Интернета в браузер локального компьютера.

Профилактическая работа: в браузере запретить получение активных элементов на локальный компьютер.

По способу активизации

Резидентные. Оставляют в ОЗУ (оперативном запоминающем устройстве) резидентную часть, которая затем перехватывает обращения операционной системы к объектам, зараженным вирусом, и внедряется в них. Они активны до выключения компьютера или до перезагрузки.

Нерезидентные . Они активны ограниченное время. Активизируются в определенные моменты, например, при запуске зараженных программ или при обработке документов текстовым процессором.

По способу проявления

Безвредные. Проявляются, как правило, в том, что уменьшают объем памяти путем своего размещения в ней. Например, собой занимают место в ОЗУ (оперативном запоминающем устройстве).

Неопасные. Кроме отмеченного выше явления, могут, например, порождать графические, звуковые и другие эффекты.

Опасные. Приводят к нарушению нормальной работы компьютера, например, к зависанию или неправильной печати документов.

Очень опасные. Могут привести к уничтожению программ и данных, стиранию информации в системных областях памяти.

По особенностям алгоритмов

Вирусы-спутники. Файлов не изменяют. А для выполняемых программ создают одноименные программы типа . com , которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной программе.

Вирусы-черви . Это сетевые вирусы (вирусы-репликаторы), распространяющиеся по компьютерным сетям. Попав из сети в компьютер, они, помимо действий на данном компьютере, отыскивают в операционной системе адреса других сетей и отсылают по ним свои копии.

Макровирусы . Они распространяются, в том числе, по сетям. Средой обитания являются файлы, имеющие возможность содержать фрагменты кода программ на Visual Basic . Это могут быть, например, файлы документов для MS Word или MS Excel , или электронные письма. Появившись в 1995 году, сегодня они составляют б о льшую часть всех вирусов.

Самомодифицирующиеся вирусы . Меняют свою структуру и код по случайному закону, и их очень трудно обнаружить. Их называют также полиморфными. Две копии одного и того же вируса этого типа могут не содержать одинаковых последовательностей байтов.

Антивирусные программы

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства – Фред Коэн.

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.

Делятся на:

v Полифаги (антивирусные сканеры, антивирусные мониторы, фаги).

v Ревизоры (CRC- сканеры (checksumer, integrity checker)) .

v Блокировщики .

v Иммунизаторы .

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: фаги, полифаги). Следом за ними по эффективности и популярности следуют CRC-сканеры (также: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Полифаги

Самыми популярными и эффективными антивирусными программами являются антивирусные полифаги. Например , Kaspersky Anti — Virus , Dr . Web .

Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.

Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.

Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.

Полифаги можно разделить на:

Также они делятся на:

К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.

Ревизоры

Принцип работы ревизоров основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и прочее.

К ним относится, например: ADinf .

При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

Недостаток ревизоров состоит в следующем: они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной посте). Поскольку в их базах данных отсутствует информация об этих файлах. Еще одним недостатком является то, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру.

Блокировщики

Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

Иммунизаторы

Иммунизаторы делятся на два типа:

v иммунизаторы, сообщающие о заражении. Обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.

Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие – 60 секунд. Однако несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

Какой антивирус лучше?

Качество антивирусной программы определяется по следующим позициям, приведенным в порядке убывания их важности:

Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется несколько часов, то вряд ли большинство пользователей будут запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый антивирус. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой – медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретного антивируса.

Методика использования антивирусных программ

Если вирус обнаружен в каком-то из новых файлов и еще не проник в систему, то нет причин для беспокойства: убейте этот файл (или удалите вирус любимой антивирусной программой) и спокойно работайте дальше. В случае обнаружения вируса сразу в нескольких файлах на диске или в загрузочном секторе, то проблема становится более сложной, но все равно разрешимой – антивирусники не зря едят свой хлеб.

Если же на компьютере действительно найден вирус, то надо сделать следующее:

В случае обнаружения файлового вируса, если компьютер подключен к сети, необходимо отключить его от сети и проинформировать системного администратора. Если вирус еще не проник в сеть, это защитит сервер и другие рабочие станции от проникновения вируса. Если же вирус уже поразил сервер, то отключение от сети не позволит ему вновь проникнуть на компьютер после его лечения. Подключение к сети возможно лишь после того, как будут вылечены все сервера и рабочие станции.

При обнаружении загрузочного вируса отключать компьютер от сети не следует: вирусы этого типа по сети не распространяются (естественно, кроме файлово-загрузочных вирусов).

Если произошло заражение макро-вирусом вместо отключения от сети достаточно на период лечения убедиться в том, что соответствующий редактор (Word/Excel) неактивен ни на одном компьютере.

Если обнаружен файловый или загрузочный вирус, следует убедиться в том, что вирус либо нерезидентный, либо резидентная часть вируса обезврежена: при запуске некоторые (но не все) антивирусы автоматически обезвреживают резидентные вирусы в памяти. Удаление вируса из памяти необходимо для того, чтобы остановить его распространение. При сканировании файлов антивирусы открывают их, многие из резидентных вирусов перехватывают это событие и заражают открываемые файлы. В результате большая часть файлов окажется зараженной, поскольку вирус не удален из памяти. То же может произойти и в случае загрузочных вирусов – все проверяемые дискеты могут оказаться зараженными.

При помощи антивирусной программы нужно восстановить зараженные файлы и затем проверить их работоспособность. Перед лечением или одновременно с ним — создать резервные копии зараженных файлов и распечатать или сохранить где-либо список зараженных файлов (log-файл антивируса). Это необходимо для того, чтобы восстановить файлы, если лечение окажется неуспешным из-за ошибки в лечащем модуле антивируса либо по причине неспособности антивируса лечить данный вирус. В этом случае придется прибегнуть к помощи какого-либо другого антивируса.

Гораздо надежнее, конечно, восстановить зараженные файлы из backup-копии (если она есть), однако все равно потребуются услуги антивируса – вдруг не все копии вируса окажутся уничтожены, или если файлы в backup-копии также заражены.

Следует отметить, что качество восстановления файлов многими антивирусными программами оставляет желать лучшего. Многие популярные антивирусы частенько необратимо портят файлы вместо их лечения. Поэтому если потеря файлов нежелательна, то выполнять перечисленные выше пункты следует в полном объеме.

В случае загрузочного вируса необходимо проверить все дискеты независимо от того, загрузочные они (т.е. содержат файлы DOS) или нет. Даже совершенно пустая дискета может стать источником распространения вируса – достаточно забыть ее в дисководе и перезагрузить компьютер (если, конечно же, в BIOS Setup загрузочным диском отмечен флоппи-диск)

Помимо перечисленных выше пунктов необходимо обращать особое внимание на чистоту модулей, сжатых утилитами типа LZEXE, PKLITE или DIET, файлов в архивах (ZIP, ARC, ICE, ARJ и т.д.) и данных в самораспаковывающихся файлах, созданных утилитами типа ZIP2EXE. Если случайно упаковать файл, зараженный вирусом, то обнаружение и удаление такого вируса без распаковки файла практически невозможно. В данном случае типичной будет ситуация, при которой все антивирусные программы, неспособные сканировать внутри упакованных файлов, сообщат о том, что от вирусов очищены все диски, но через некоторое время вирус появится опять.

Никто не гарантирует полного уничтожения всех копий компьютерного вируса, так как файловый вирус может поразить не только выполняемые файлы, но и оверлейные модули с расширениями имени, отличающимися от COM или EXE. Загрузочный вирус может остаться на какой-либо дискете и внезапно проявиться при случайной попытке перезагрузиться с нее. Поэтому целесообразно некоторое время после удаления вируса постоянно пользоваться резидентным антивирусным сканером (не говоря уже о том, что желательно пользоваться им постоянно)

Читайте также:

  

• Доклад смысловое чтение и работа с текстом

  

• Метод математического моделирования в экономике доклад

  

• Доклад о положении дел танджиро камадо

  

• Конусные дробилки и их производительность доклад

  

• Мошковский район новосибирской области доклад