- •Утверждаю
- •К.К. Борзунов
- •Введение
- •1 Уязвимость информации
- •2 Формы и причины проявления уязвимости информации
- •2.1 Несовершенство или нарушения организации работы с информацией или с носителем информации.
- •2.2 Несовершенство системы защиты информации или нарушения в обеспечении информационной безопасности.
- •2.3 Негативные социальные и психологические явления, происходящие в организации или ее структурном подразделении.
- •2.4 Высокая ценность информации
- •Понятие, причины и условия утечки защищаемой информации
- •Литература Обязательные источники
- •Основная литература
- •Дополнительная литература
2.2 Несовершенство системы защиты информации или нарушения в обеспечении информационной безопасности.
Каждая организация индивидуально подходит к вопросу разработки своей системы защиты информации, которая представляет собой организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз, а также недоступность информации для посторонних лиц. При этом реализация норм и требований системы защиты информации возлагается на службу безопасности организации. Система защиты включает в себя информационно-аналитическое подразделение, подразделение режима и охраны, инженерно-техническое подразделение, подразделение обработки конфиденциальных документов (или секретариат в небольших организациях).
Несовершенство системы защиты информации (СЗИ) может проявляться в следующих условиях:
действия СЗИ охватывают не всю систему информационной деятельности, или же имеются плохо защищенные элементы этой системы;
защита информации не является непрерывной в пространстве и во времени, а также не выполняются такие требования к ней, как комплексность и целостность (функционирование системы в неискаженном виде по отношению к некоторому фиксированному (эталонному) ее состоянию);
отсутствие надежных и эффективных механизмов защиты информации (ненадежность инженерно-технических, физических и программных средств защиты, несовершенство организационно-административных мероприятий и правовых норм по защите информации);
отсутствие персональной ответственности за сохранность защищаемых сведений;
СЗИ не является достаточно гибкой для изменения, дополнения и совершенствования мер обеспечения безопасности информации;
отсутствие четкости в определении прав и полномочий пользователей на доступ к защищаемой информации;
одновременное использование одних и тех же средств защиты (пароль, сейф, ключ и другие) несколькими пользователями;
отсутствие учета и анализа выявленных случаев или попыток НСД к защищаемой информации;
отсутствие контроля надежности и работоспособности используемых средств и проводимых мероприятий по обеспечению безопасности информации;
отсутствие или несовершенство "Перечня сведений конфиденциального характера" и других нормативных документов по организации защиты информации на предприятии.
Исправление недостатков в системе защиты информации возлагается на службу безопасности организации, а организация защиты информации – на ее руководителя. Прежде чем приступать к каким-либо действиям по совершенствованию СЗИ необходимо проанализировать ситуацию, выявить все уязвимые места в системе защиты, определить степень риска каждой формы проявления уязвимости, скоординировать возможные действия различных подразделений по устранению причин и условий возникновения угроз, которые привели к появлению уязвимости информации, разработать план действий и, согласовав его с руководителями других подразделений, представить на утверждение руководителю организации. Только после этого следует приступать к конкретным действиям.
Несовершенство системы защиты информации – это серьезная проблема в обеспечении информационной безопасности, особенно если эти недостатки касаются защиты конфиденциальных сведений. Данная форма проявления уязвимости информации может создать высокий риск утечки информации.
Нарушения в обеспечении информационной безопасности подразумевают умышленные или случайные действия сотрудников организации, направленные против норм и требований системы защиты организации. Здесь очевиден субъективный фактор уязвимости, так как нарушение работы системы информационной безопасности в данном случае не может произойти само по себе, без вмешательства человека. Уязвимость такого рода не является постоянной, она возникает только в том случае, когда нарушаются правила работы с конфиденциальной информацией. Поэтому данная форма уязвимости наиболее часто встречается на практике, тогда как уязвимость от несовершенства системы защиты возникает только один раз (при внедрении новой системы защиты), и далее уже существует постоянно в качестве уязвимости информации до изменения (полностью или частично) самой системы защиты информации. Таким образом, несовершенство системы безопасности информации носит глобальный характер, а нарушение ее требований, правил, норм, методов носит локальный характер.