Министерство культуры и искусств Украины
Киевский национальный университет культуры и искусств
Факультет информационных систем и библиотековедения
Кафедра документоведения
Контрольная работа
по курсу “Организация информационной деятельности в органах управления” на тему:
“Информация, которая подлежит защите. Понятие и виды.”
cтудентки ІV курса заочной
формы обучения группы №
ІІІ-ДМ
Научный руководитель: старший преподаватель
Кулицкий С.П.
КИЕВ-2001
План.
Введение……………………………………………………3
Раздел 1. Виды и области информации.
Информация с ограниченным доступом………….…...5
Раздел 2. Защита информации…………………………9
Меры защиты: четыре уровня защиты..……………………….9 Признаки компьютерных преступлений …….………………...10 Информационная безопасность…………………………………11 Признаки информационной уязвимости систем …………….12
Уголовная ответственность за информационные
преступления……………………………………………………..13
Заключение………………………………………………..15
Список использованной литературы………………….16
Введение.
Информационная эра привела к драматическим изменениям в способе
выполнения своих обязанностей для большого числа профессий. Теперь
нетехнический специалист среднего уровня может выполнять работу, которую
раньше делал высококвалифицированный программист. Служащий имеет в своем
распоряжении столько точной и оперативной информации, сколько никогда не
имел.
Но использование компьютеров и автоматизированных технологий приводит
к появлению ряда проблем для руководства организацией. Компьютеры, часто
объединенные в сети, могут предоставлять доступ к колоссальному количеству
самых разнообразных данных. Поэтому люди беспокоятся о безопасности
информации и наличии рисков, связанных с автоматизацией и предоставлением
гораздо большего доступа к конфиденциальным, персональным или другим
критическим данным. Все увеличивается число компьютерных преступлений, что
может привести, в конечном счете, к подрыву экономики. И поэтому должно
быть ясно, что информация - это ресурс, который надо защищать.
Ответственность за защиту информации лежит на низшем звене
руководства. Но также кто-то должен осуществлять общее руководство этой
деятельностью, поэтому в организации должно иметься лицо в верхнем звене
руководства, отвечающее за поддержание работоспособности информационных
систем.
И так как автоматизация привела к тому, что теперь пользование
вычислительной техникой выполняются простыми служащими организации, а не
специально подготовленным техническим персоналом, нужно, чтобы конечные
пользователи знали о своей ответственности за защиту информации.
В силу сказанного, важнейшей задачей является овладение основами
компьютерной безопасности работниками низшего звена управления, то есть для
начальников отделов, руководителей групп и т.п.
Число компьютерных преступлений растет - также увеличиваются масштабы
компьютерных злоупотреблений. По оценке специалистов США, ущерб от
компьютерных преступлений увеличивается на 35 процентов в год и составляет
около 3.5 миллиардов долларов. Одной из причин является сумма денег,
получаемая в результате преступления: в то время как ущерб от среднего
компьютерного преступления составляет 560 тысяч долларов, при ограблении
банка - всего лишь 19 тысяч долларов.
Шансов быть пойманным у компьютерного преступника гораздо меньше, чем
у грабителя банка - и даже при поимке у него меньше шансов попасть в
тюрьму. Обнаруживается в среднем 1% от общего числа компьютерных
преступлений. И вероятность того, что за компьютерное мошенничество
преступник попадет в тюрьму, меньше 10 %.
Умышленные компьютерные преступления составляют заметную часть
преступлений. Но злоупотреблений в компьютерной сфере и ошибок еще больше.
Как выразился один эксперт, "…мы теряем из-за ошибок больше денег, чем
могли бы украсть". Эти потери подчеркивают важность и серьезность убытков,
связанных с компьютерами.
Основной причиной наличия потерь, связанных с компьютерами, является
недостаточная образованность в области безопасности. Только наличие
некоторых знаний в области безопасности может прекратить инциденты и
ошибки, обеспечить эффективное применение мер защиты, предотвратить
преступление или своевременно обнаружить злоумышленника.
Раздел 1. Виды и области информации. Информация с ограниченным доступом.
Основными правовыми актами, классифицирующими информацию, а также
регламентирующими доступ к ней и, соответственно ее защиту в Украине
являются Закон Украины «Об информации» и Закон Украины «О защите информации
в автоматизированных системах», и также документы исполнительной власти,
содержащие конкретные методические разработки.
Закон Украины «Об информации» выделяет следующие отрасли информации: - политическая; - экономическая; - духовная; - научно-техническая; - социальная; - экологическая; - международная;
и следующие виды информации:
- статистическая информация;
- массовая информация;
- информация о деятельности государственных органов власти и органов местного и регионального самоуправления;
- правовая информация;
- информация о личности;
- информация справочно-энциклопедического характера;
- социологическая информация.
Источниками информации являются предусмотренные или установленные
Законом носители информации: документы и прочие носители информации,
которые представляют собой материальные объекты, которые сохраняют
информацию, а также сообщения средств массовой информации, публичные
выступления.(Статья 26).
Документ - это предусмотренная законом материальная форма
получения, сохранения, использования и распространения информации путем
фиксации ее на бумаге, магнитной, кино-, відео-, фотопленке или на
другом носителе.
Первичный документ - это документ, который включает в себя исходную
информацию.
Вторичный документ - это документ, который представляет собой
результат аналитико-синтетической и другой переработки одного или
нескольких документов.(Статья 27).
Режим доступа к информации - это предусмотренный правовыми
нормами порядок получения, использования, распространения и сохранения
информации.
По режиму доступа информация разделяется на открытую
информацию и информацию с ограниченным доступом.
Государство осуществляет контроль режима доступа к информации. Задача
контроля режима доступа к информации состоит в обеспечении соблюдения
требований законодательства об информации всеми государственными
органами, предприятиями, учреждениями и организациями, недопущении
необоснованного отнесения сведений к категории информации с ограниченным
доступом.
Государственный контроль соблюдения установленного режима
осуществляется специальными органами, которые определяют Верховная Рада
Украины и Кабинет Министров Украины.
В порядке контроля Верховная Рада Украины может требовать
отправительственных учреждений, министерств, ведомств отчеты, которые содержат сведения об их деятельности по обеспечению
информацией заинтересованных личностей (количество случаев отказа в
предоставлении доступу к информации с указанием мотивов таких
отказов; количество и обоснование применения режима ограниченного доступа
к отдельным видам информации; количество жалоб на неправомерные действия
должностных лиц, которые отказали в доступе к информации, и примененные
относительно них мероприятия и т.п.).(Статья 28).
Доступ к открытой информации обеспечивается путем: - систематической публикации ее в официальных печатных изданиях
(бюллетенях, сборниках);
- распространения ее средствами массовой коммуникации;
- непосредственного ее предоставления заинтересованным гражданам,
государственным органам и юридическим лицам.
Порядок и условия предоставления гражданам, государственным
органам, юридическим лицам и представителям общественности сведений
по запросам устанавливаются этим Законом или договорами (соглашениями),
если предоставление информации осуществляется на договорной основе.
Ограничение права на получение открытой информации
запрещается законом.
Преобладающим правом на получение информации пользуются
граждане, которые эта информация необходимая для выполнения своих
профессиональных обязанностей.(Статья 29).
Информация с ограниченным доступом по своему правовому режиму
разделяется на конфиденциальную и тайную.
Конфиденциальная информация - это сведения, которые находятся во
владении, пользовании или распоряжении отдельных физических или
юридических лиц и распространяются по их желанию соответственно с
предусмотренными ими условиями.
Граждане, юридические лица, которые владеют информацией
профессионального, делового, производственного, банковского, коммерческого
и другого характера, полученной на собственные средства, или таковой,
которая является предметом их профессионального, делового,
производственного, банковского, коммерческого и другого интереса и не
нарушает предусмотренной законом тайны, самостоятельно определяют режим
доступа к ней, включая принадлежность ее к категории конфиденциальной, и устанавливают для нее систему (методы) защиты.
Исключение составляет информация коммерческого и банковского
характера, а также информация, правовой режим которой установлен
Верховной Радой Украины по представлению Кабинета Министров Украины (по
вопросам статистики, экологии, банковских операций, налогов и т.п.), и
информация, утаивание которой представляет угрозу жизни и здоровью
людей.
К тайной информации принадлежит информация, которая содержит
сведения, составляющие государственную и другую предусмотренную законом
тайну, разглашение которой наносит ущерб личности, обществу и
государству.
Отнесение информации к категории тайных сведений, которые составляют
государственную тайну, и доступ к ней граждан осуществляется
соответственно закону об этой информации.
Порядок оборота тайной информации и ее защиты определяется
соответствующими государственными органами при условии соблюдения
требований, установленных этим Законом.
Порядок и сроки обнародования тайной информации определяются
соответствующим законом.(Статья 30).
Статья 23 регламентирует доступ к информации о личности, которую
можно выделить в особую категорию информации в связи с ее гуманистическим
толкованием (вопросы прав и свобод личности).
Информация о личности - это совокупность документированных или
публично объявленных сведений о личности.
Основными данными о личности (персональными данными) есть:
- национальность;
- образование;
- семейное положение;
- отношение к религии;
- состояние здоровья,
а также адрес, дата и место рождения.
Источниками документированной информации о личности есть выданные на
ее имя документы, подписанные ею документы, а также сведения о
личности, собранные государственными органами властей и органами местного
и регионального самоуправления в границах своих полномочий.
Запрещается собирание сведений о личности без ее
предварительного соглашения, за исключением случаев, предусмотренных
законом.
Каждая личность имеет право на ознакомление с информацией, собранной
о ней.
Информация о личности охраняется Законом. ( Официальное толкование к
статье 23 дано в Решении Конституционного Суда Украины N 5-зп от 30.10.97).
Раздел 2. Защита информации.
Защита информации в сфере современных технологий информационного
обмена законодательно регламентирована Законом Украины «О защите информации
в автоматизированных системах».
Меры защиты: четыре уровня защиты.
Предотвращение - только авторизованный персонал имеет доступ к
информации и технологии.
Обнаружение - обеспечивается раннее обнаружение преступлений и
злоупотреблений, даже если механизмы защиты были обойдены.
Ограничение - уменьшается размер потерь, если преступление все-таки
произошло несмотря на меры по его предотвращению и обнаружению.
Восстановление - обеспечивается эффективное восстановление информации
при наличии документированных и проверенных планов по восстановлению.
Вчера контроль технологии работы был заботой технических
администраторов. Сегодня контроль информации стал обязанностью каждого
нетехнического конечного пользователя. Контроль информации требует новых
знаний и навыков для группы нетехнических служащих. Хороший контроль
информациии требует понимания возможностей совершения компьютерных
преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять
контрмеры против них.
Когда компьютеры впервые появились, они были доступны только
небольшому числу людей, которые умели их использовать. Обычно они
помещались в специальных помещениях, удаленных территориально от помещений,
где работали служащие. Сегодня все изменилось. Компьютерные терминалы и
настольные компьютеры используются везде. Компьютерное оборудование стало
дружественным к пользователю, поэтому много людей могут быстро и легко
научиться тому, как его использовать.
Число служащих в организации, имеющих доступ к компьютерному
оборудованию и информационной технологии, постоянно растет. Доступ к
информации больше не ограничивается только узким кругом лиц из верхнего
руководства организации. Этот процесс привел к тому, что произошла
"демократизация преступления". Чем больше людей получало доступ к
информационной технологии и компьютерному оборудованию, тем больше
возникало возможностей для совершения компьютерных преступлений.
Трудно обобщать, но теперь компьютерным преступником может быть...
конечный пользователь, не технический служащий и не хакер
тот, кто не находится на руководящей должности
тот, у кого нет судимостей
умный, талантливый сотрудник
тот, кто много работает
тот, кто не разбирается в компьютерах
тот, кого вы подозревали бы в последнюю очередь
именно тот, кого вы взяли бы на работу
Признаки компьютерных преступлений.
Обращайте внимание на следующие факты или события:
неавторизованное использование компьютерного времени
неавторизованные попытки доступа к файлам данных
кражи частей компьютеров
кражи программ
физическое разрушение оборудования
уничтожение данных или программ
неавторизованное владение дискетами, лентами или распечатками
И это только самые очевидные признаки, на которые следует обратить
внимание при выявлении компьютерных преступлений. Иногда эти признаки
говорят о том, что преступление уже совершено, или что не выполняются меры
защиты. Они также могут свидетельствовать о наличии уязвимых мест -
указать, где находится дыра в защите - и помочь наметить план действий по
устранению уязвимого места. В то время как признаки могут помочь выявить
преступление или злоупотребление - меры защиты могут помочь предотвратить
его.
Меры защиты - это меры, вводимые руководством, для обеспечения
безопасности информации - административные руководящие документы(приказы,
положения, инструкции), аппаратные устройства или дополнительные программы
- основной целью которых является предотвратить преступления и
злоупотребления, не позволив им произойти. Меры защиты могут также
выполнять функцию ограничения, уменьшая размер ущерба от преступления.
Информационная безопасность.
То, что в 60-е годы называлось компьютерной безопасностью, а в 70-е -
безопасностью данных, сейчас более правильно именуется информационной
безопасностью. Информационная безопасность подчеркивает важность информации
в современном обществе - понимание того, что информация - это ценный
ресурс, нечто большее, чем отдельные элементы данных.
Информационной безопасностью называют меры по защите информации от
неавторизованного доступа, разрушения, модификации, раскрытия и задержек в
доступе. Информационная безопасность включает в себя меры по защите
процессов создания данных, их ввода, обработки и вывода. Целью
информационной безопасности является обезопасить ценности системы, защитить
и гарантировать точность и целостность информации, и минимизировать
разрушения, которые могут иметь место, если информация будет модифицирована
или разрушена. Информационная безопасность требует учета всех событий, в
ходе которых информация создается, модифицируется, к ней обеспечивается
доступ или она распространяется.
Информационная безопасность дает гарантию того, что достигаются
следующие цели:
конфиденциальность критической информации
целостность информации и связанных с ней процессов (создания, ввода,
обработки и вывода)
доступность информации, когда она нужна
учет всех процессов, связанных с информацией
Некоторые технологии по защите системы и обеспечению учета всех
событий могут быть встроены в сам компьютер. Другие могут быть встроены в
программы. Некоторые же выполняются людьми и являются реализацией указаний
руководства, содержащихся в соответствующих руководящих документах.
Принятие решения о выборе уровня сложности технологий для защиты системы
требует установления критичности информации и последующего определения
адекватного уровня безопасности.
Что же такое критические данные? Под критическими данными будем
понимать данные, которые требуют защиты из-за вероятности нанесения (риска)
ущерба и его величины в том случае, если произойдет случайное или
умышленное раскрытие, изменение, или разрушение данных. Этот термин
включает в себя данные, чье неправильное использование или раскрытие может
отрицательно отразиться на способности организации решать свои задачи,
персональные данные и другие данные, защита которых требуется указами
Президента Украины, законами Украины и другими подзаконными актами.
Признаки информационной уязвимости систем.
Следующие признаки могут свидетельствовать о наличии уязвимых мест в
информационной безопасности.
1. Не разработано положений о защите информации или они не соблюдаются.
Не назначен ответственный за информационную безопасность.
2. Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе.
3. Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.
4. Не существует ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.
5. Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.
6. Изменения в программы могут вноситься без их предварительного утверждения руководством.
7. Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты, и понимать сами данные - их источники, формат хранения, взаимосвязи между ними.
8. Делаются многочисленные попытки войти в систему с неправильными паролями.
9. Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях. 10. Имеют место выходы из строя системы, приносящие большие убытки 11. Не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности 12. Мало внимания уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом деле она не нужна.
Уголовная ответственность за информационные преступления.
На сегодняшний день преступления в информационной сфере попадают под
действие Криминального кодекса Украины на основании Закона Украины «О
внесении изменений и дополнений в Уголовный кодекс Украины и Уголовно-
процессуальной кодекс Украины», в котором, в частности сказано:
В связи с принятием Закона Украины "О защите информации в
автоматизированных системах" Верховная Рада Украины постановляет:
I. Дополнить Уголовный кодекс Украины статьей 198-1 такого
содержания:
"Статья 198-1. Нарушение работы автоматизированных систем
Умышленное вмешательство в работу автоматизированных систем,
которое
привело к искажению или уничтожению информации или носителей
информации, распространение программных или технических средств,
предназначенных для незаконного проникновения в автоматизированные системы
и
способных обусловить искажение или уничтожение информации или носителей
информации, - наказывается
- лишением свободы на срок до двух лет или
- исправительными работами на тот же срок, или штрафом в размере от ста до двухсот минимальных размеров заработной платы.
Те же действия, если ими вызван вред в больших размерах, или
содеянные повторно или по предварительному сговору группой личностей, -
наказываются лишением свободы на срок от двух до пяти лет".
Заключение.
Использование технологий, которые входят в понятие информационная
система - залог успешной деятельности любой организации и ее
управленческого звена.
Информационные процессы и деятельность, связанная с ними, должны
регламентироваться стандартизтрованными нормами. Для упрощения обмена
информацией, защиты коммерческой тайны и авторских прав, статистического
анализа, планирования и эффективного управления по всем иерерхическим
уровням глобальной информационной системы страны необходимо законодательное
регулирование информационной деятельности организаций.
Что касается защиты информации, то хотя рассмотренные нами средства не
всегда надежны, т.к. на сегодняшний день быстрыми темпами развивается не
только техника (в нашем случае компьютерная), постоянно совершенствуется не
только сама информация, но и методы, позволяющие эту информацию добывать,
этими средствами не следует пренебрегать. Наш век часто называют
информационной эпохой и он несет с собой огромные возможности, связанные с
экономическим ростом, технологическими новшествами. На данный момент
обладание электронными данными, которые становятся наибольшей ценностью
информационной эры, возлагает на своих владельцев права и обязанности по
контролю их использования. Файлы и сообщения, хранимые на дисках и
пересылаемые по каналам связи, имеют иногда большую ценность, чем сами
компьютеры, диски. Поэтому перспективы информационного века могут быть
реализованы только в том случае, если отдельные лица, предприятия и другие
подразделения, владеющие информацией, которая все чаще имеет
конфиденциальный характер или является особо важной, смогут соответствующим
образом защитить свою собственность от всевозможных угроз, выбрать такой
уровень защиты, который будет соответствовать их требованиям безопасности,
основанным на анализе степени угрозы и ценности хранимой собственности.
Список использованной литературы.
1. Michel L. Kasavana Managing Front Office procedures. Educational
institute of Hotel&Motel Association 1992.
2. Jack D. Ninimeier Management of FOOD and BEVERAGES operations.
Educational institute of Hotel&Motel Association 1992.
3. Введение в информационный бизнес. Под ред. В.П. Тихомирова, А.В.
Хорошилова. Москва, Финансы и статистика, 1996.
4. Информационные системы в экономике. Под ред. проф. В.В. Дика, Москва,
Финансы и статистика, 1996.
5. Хоскинг А. Курс Предпринимательства. Москва, Международные отношения,
1994.
6. Блюминау Д. И. Информация и информационный бизнес. Москва, Наука,
1989.
7. Майоров С.И. Информационный бизнес: коммерческое распространение и
маркетинг. Москва, Финансы и Статистика, 1993.
8. Митчелл К. “Виртуальный служащий: полцарства за розетку для ПК”
BusinessWeek N 7 1996.
9. Лейбман Л. “ Проблемы глобальных коммуникаций “ ComputerWorld N 41
1996.
10. Коваль А.П. Культура ділового мовленняя. Видавниче об’єднання “Вища
школа”, К.: 1977.
11. Краткий словарь архивной терминологии. М.: 1968.
12. Уголовно-процессуальный кодекс Украины. Закон Украины от 28 декабря
1960г. Ведомости Верховной Рады Украины. - 1961. - N2. - Ст.15.
13. Заботина Р. “Внутрихозяйственная инфраструктура предприятий” “Экономика
Украины”, №3 1994 г.
14. Закон Украины “О предприятиях”.
15. Закон Украины “О предпринимательстве” “Ведомости Верховного Совета
УССР”, 1991 г., №14.
16. Закон України “Про внесення змін і доповнень до Кримінального кодексу
України та Кримінально-процесуального кодексу України” “Відомості
Верховної Ради” (ВВР) 1994, N 45, ст.409.
17. Закон України «Про захист інформації в автоматизованих системах»
«Відомості Верховної Ради» (ВВР), 1994, N 31, ст.286.
18. Закон України “Про інформацію” “Відомості Верховної Ради” (ВВР), 1992,
N 48, ст.650.
19. Официальное толкование к статье 23 Закона Украины «Об информации» в
Решении Конституционного Суда Украины N 5-зп от 30.10.97.
20. Кримінальний кодекс України «Відомості Верховної ради» (ВВР), 1997 р.