Опасное воздействие на информационную систему можно подразделить
- Случайное -
- Преднамеренное
Причинами случайных воздействий при эксплуатации информационной системы могут быть аварийные ситуации из-за стихийных бедствий и отключений электропитания/отказы и сбои аппаратуры/ошибки в программном обеспечении/ошибки в работе персонала/помехи в линиях связи из-за воздействия внешней среды.
Преднамеренное воздействие - целенаправленное действие нарушителя, в качестве нарушителя могут выступать служащие, посетители, конкуренты, наемник.
Действия нарушителя могут быть обусловлены разными мотивами:
- Недовольство служащего своей карьерой;
- Взяткой
- Конкурентной борьбой
- Стремлением самоутвердиться любой ценой
- И иные
Гипотетическая модель потенциального нарушителя:
- Квалификация нарушителя на уровне разработчика данной системы
- Нарушителем может быть как постороннее лицо, так и законный пользователь системы.
- Нарушителю известна информация о принципах работы системы.
- Нарушитель выбирает наиболее слабое звено в защите.
Наиболее распространенным видом компьютерных нарушений является несанкционированный доступ к информации.
Несанкционированный доступ - это чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.
К перечню каналов несанкционированного доступа относятся:
- Через человека
- Хищение носителя информации
- Чтение информации с экрана/клавиатуры
- Чтение информации из распечатки
- Через программы
- Копирование информации с носителя
- Перехват паролей
- Дешифровка зашифрованной информации
- Через аппаратуру
- Подключение спец. Средств
- Перехват побочных излучений, фотоаппаратуры, линий связи и сетей электропитания
Для защиты информации применяются организационные мероприятия, технические средства, программные средства и криптография.
Организационные мероприятия - пропускной режим/ограничение доступа лиц в компьютерное помещение/хранение носителей и устройств в сейфе.
Технические средства - фильтры и экраны на аппаратуру/ключи для блокировки клавиатуры/устройства аутентификации для чтения отпечатков пальцев, радужки глаз, скорости и приемов работы на клавиатуре/ электронные ключи на микросхемах.
Программные средства- парольный доступ/ блокировка экрана и клавиатуры с помощью комбинации клавиш/ использование средств парольной защиты на BIOS.
Криптографический способ - ее шифрование при вводе и выводе в компьютерную систему/ цифровая подпись.
Системы защиты конфиденциальной информации:
Категории конфиденциальной информации
Состав сведений, составляющих конфиденциальную информацию должен приводиться в документе, который называется перечень сведений ограниченного распространения, который утверждается руководителем организации.
В коммерческих организациях можно выделить категории данной информации
- Сведения составляющие коммерческую тайну организации
- Персональные данные сотрудников организации
- Сведения, составляющие конфиденциальную информацию третьих лиц (партнеров, клиентов, подрядчиков)
Предметом зашиты коммерческой информации являются все особенности и детали коммерческой деятельности компании, деловые связи, закупка сырья и материалов, сведения о поставщиках, предполагаемые прибыли, методика установления цен, результаты маркетинговых исследований.
Система предотвращения утечки конфиденциальной информации состоит из
- Работа с персоналом
- Политика безопасности
- Сервисы безопасности
работа с персоналом:
Основным источником утечки информации из организации является ее персонал, который способен свести на нет все самые изощренные способы защиты.
Основные принципы и правила управления персоналом, с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000
Соблюдение этих правил помогает существенно снизить влияние человеческого фактора, избежать характерных ошибок и предотвратить утечку информации.
При работе с персоналом необходимо соблюдать требования
- Ответственность за информационную безопасность должна быть включена в должностные инструкции сотрудника
- Должны выполняться проверки сотрудников при приеме на работу
- При приеме на работу необходимо подписание соглашения о неразглашении конфиденциальной информации
Меры пресечения
На основании статьи 192 ТК, сотрудники, нарушившие требования политики информационной безопасности могут быть подвержены дисциплинарному взысканию.
Сотрудники несут материальную ответственность в пределах своего месячного заработка, а за умышленное разглашение сведений, составляющих коммерческую тайну, сотрудники несут ответственность в полном размере причиненного ущерба. 243
В основе системы защиты информации на предприятии должны лежать внутренние нормативные документы, написанные в соответствии с международным стандартом:
- Правило работы пользователей в корпоративной сети
- Руководство по защите конфиденциальной информации
- Инструкция по защите от компьютерных вирусов
- Правила использования мобильных устройств для работы в корпоративной сети
- Правила работы в сети интернет.
Основные правила обращения с конфиденциальной информацией:
- Маркирование документов - все документы, содержащие конфиденциальную информацию должны иметь соответствующий гриф
- Закрытое обсуждение - не обсуждать конфиденциальную информацию в присутствии посторонних лиц или в общественных местах, в том числе в столовой или курилке.
- Шифрование - электронный обмен конфиденциальной информацией с внешними респондетнами должен вестись в зашифрованном виде.
- Использование соглашения о конфиденциальности - Передача сведений, содержащих конфиденциальную информацию третьей стороне должна выполняться только после заключения подобного соглашения.
- Ограничение доступа к информации - требования не хранить электронные документы, содержащие конфиденциальную информацию в общедоступных местах.
- Информирование - Требуется не только владеть методами защиты информации, но и следить за их выполнением другими сотрудниками и обо всех фактах утечки информации следует незамедлительно сообщать.
Информационные технологии в юриспруденции (лекция от 6.12.12) |
Система электронного документооборота (продолжение)
Классификация систем электронного документооборота
- Системы с развитыми средствами хранения и поиска информации (электронные архивы) - предназначен для эффективного хранения и поиска информации.
- Системы с развитыми средствами управления потоками.
- Системы ориентированные на поддержку управления организаций и накопление знаний. - эти системы активно используются в государственных структурах управления.
- Системы ориентированные на поддержку совместной работы - сервисы хранения и публикации документов в интранет. Используются в коммерческих компаниях и крупных фирмах.
Основные системы электронного документооборота, используемые в России.
- Docs Open - самый популярный электронный архив. Эффективно применяется как в крупных организациях, так и в небольших фирмах. Реализована на архитектуре "клиент-сервер" и не предназначена для территориально-распределенных организаций.
- Documentum - включает в себя маршрутизацию, утверждение, распределение, уведомление и контроль исполнения. Недостаток - высокая стоимость внедрения. Поэтому используется преимущественно в крупных корпорациях.
- Босс-Референт - разработана компанией "IТ". Относится к категории систем, ориентированных на поддержку управления организацией, эффективной работы сотрудников и накопление знаний. В ней реализованы функции контроля договоров, учет материальных ценностей, потоковое сканирование и распознавание, автоматизация деятельности бюро пропусков и генератор отчетов.
- Дело - разработчик - компания "Электронные офисные системы" эта система интересна для организаций, в которых необходимо внедрить централизованное делопроизводство для канцелярии, секретариата и общих отделов. Функции хранения и контроля исполнения.
- Евфрат - выполнена по архитектуре "Клиент-сервер" и представляет собой средство сканирования, распознавания, регистрации документов и полнотекстового поиска. В ней реализована функция контроля исполнения задания.
Правовая статистика.
Предметом правовой статистики служат количественная сторона качественно-однородных, массовых правовых и юридически-значимых явлений.
В составе правовой статистики выделяются 3 правовые части
- Уголовно-правовая статистика
- Объект - количественная сторона преступности, судимости и мероприятия по ее предупреждению.
- Гражданско-правовая статистика
- Задача - учет гражданско-правовых споров, находящихся на рассмотрении арбитражных судов и судов общей юрисдикции
- Административно-правовая статистика
- Объект - количественная сторона административных нарушений, по видам, причиненному ущербу и мероприятиям по борьбе с ними.
Самостоятельным разделом правовой статистики является статистика прокурорского надзора.
Отличают три метода правовой статистики.
- Массовое статистическое наблюдение
- Сводка и группировка
- Обобщение и анализ собранных и сгруппированных данных, на основе применения обобщающих статистических показателей.
Статистический анализ позволяет выявить причинно-следственные связи, установить закономерности и зависимости и оценить эффективность борьбы с преступностью.
Наиболее распространенным способом изображения статистической информации являются диаграммы.
- Линейные диаграммы применяются для характеристики динамики, изменения, и оценки выполнения плановых заданий.
- Статистические карты представляют собой графические изображения статистических данных на схематических контурных картах.
- Картограмма - план местности на которой штриховкой различной частоты и расцветки показывается сравнительная интенсивность, какого показателя в пределах каждой единицы территориального деления.