Анализ информационно-вычислительных центров

Под информацией, применительно к задаче ее защиты понимается сведения о лицах, предметах, фактах, событиях явлениях и процессах независимо от формы их представления. В зависимости от формы представления информация может быть речевой, телекоммуникационной, документированной.

Информационные процессы — процессы сбора, накопления, обработки хранения, распределения и поиска информации.

Информационная системасовокупность документов и массивов документов и информационных технологий.

Информационными ресурсами называют документы или массив документов существующие отдельно или в составе информационной системы.

В последние годы в школах участились попытки несанкционированного получения информации, в т. ч. персональных данных педагогов и учащихся. Противодействовать такой тенденции можно, создав в образовательном учреждении систему информационной безопасности.

Нынешнее столетие характеризуется особенностью перехода от индустриального общества к информационному. В этих условиях тот, кто обладает информацией и умело ее использует, способен оперативно решать поставленные задачи, организовывать работу подчиненных, обеспечивать успешное развитие своего предприятия.

Информация и обеспечивающие ее системы и сети являются ценными ресурсами. Собственники информации сталкиваются с возрастающей угрозой нарушения режима безопасности, исходящей из различных источников. Информационным системам и сетям могут угрожать такие опасности, как: компьютерное мошенничество, компьютерные вирусы, хакеры, вандализм, хищение, разглашение конфиденциальной информации и другие виды угроз. В процентном отношении, по различным оценкам специалистов, данные угрозы в среднем распределяются следующим образом:

• — разглашение информации в результате подкупа работников 43%;
• — копирование программ и данных 24%;
• — проникновение в ПЭВМ 18%;
• — подслушивание переговоров 5%.

Анализ состояния дел в области информационной безопасности позволяет сделать вывод, что система мер, обеспечивающая защиту информации, значительно уменьшает возможность ее утечки, несанкционированного доступа, разглашения и потери информации. Главным является обеспечение бесперебойной работы организации и сведение к минимуму ущерба от событий, таящих угрозу информационной безопасности.

С учетом зарубежного и отечественного опыта обеспечение информационной безопасности осуществляется по следующим направлениям:

• — правовая защита это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;
• — организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какоголибо ущерба;
• — инженерно-техническая защита — это использование различных технических средств, препятствующих нанесению ущерба.

При построении системы информационной безопасности решающую роль играет организационная защита. В первую очередь необходимо учесть следующие аспекты:

• — Безопасность информации может быть обеспечена при комплексном использовании всего арсенала имеющихся средств защиты.
• — Никакая система защиты информации не может обеспечить требуемого уровня безопасности информации без соответствующей подготовки пользователей и соблюдения ими установленных правил.
• — Процесс построения системы информационной безопасности не является разовым мероприятием. Он должен постоянно совершенствоваться, быть управляемым. Такой подход является главным стратегическим звеном во всей системе информационной безопасности, а информация — главным элементом защиты.

Требования обеспечения информационной безопасности отражаются в уставе (учредительном договоре) в виде следующих положений:

• — ОУ имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, персональных данных учащихся, работников ОУ, требовать от своих сотрудников обеспечения сохранности и защиты этих сведений от внешних и внутренних угроз;
• — ОУ обязано обеспечить сохранность конфиденциальной информации.

Такие требования дают право администрации ОУ:

• — назначить ответственного за обеспечение информационной безопасности;
• — издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;
• — включать требования по обеспечению информационной безопасности в коллективный договор;
• — включать требования по защите информации в договоры по всем видам деятельности;
• — разрабатывать перечень сведений конфиденциального характера;
• — требовать защиты интересов ОУ со стороны государственных и судебных инстанций.

К организационным и функциональным документам следует отнести:

• — приказ руководителя ОУ о назначении ответственного за обеспечение информационной безопасности;
• — должностные обязанности ответственного за обеспечение информационной безопасности;
• — перечень защищаемых информационных ресурсов и баз данных;
• — инструкцию, определяющую порядок предоставления информации сторонним организациям по их запросам, а также по правам доступа к ней сотрудников ОУ.

Данный перечень документов не является исчерпывающим. В зависимости от особенностей, специфики и характера ОУ он может быть расширен и дополнен.

Кроме того, должен быть определен порядок допуска сотрудников ОУ к информации. Такой допуск предусматривает:

• — принятие работником обязательств о неразглашении доверенных ему сведений конфиденциального характера;
• — ознакомление работника с нормами законодательства РФ и ОУ об информационной безопасности и ответственности за разглашение информации конфиденциального характера;
• — инструктаж работника специалистом по информационной безопасности;
• — контроль работника ответственным за информационную безопасность при работе с информацией конфиденциального характера.

Как показала практика, при проверке организации системы информационной безопасности, как правило, отмечаются следующие недостатки:

• — отсутствует перечень сведений, составляющий конфиденциальную информацию;
• — отсутствуют должностные обязанности ответственного за информационную безопасность;
• — не соблюдается порядок учета носителей информации конфиденциального характера;
• — нарушен порядок делопроизводства.

Самым серьезным недостатком в организации информационной безопасности является отсутствие взаимопонимания между теми, кто обеспечивает информационную безопасность, и теми, кто пользуется данной информацией. Нередко пользователи информации нарушают порядок обращения с ней и не соблюдают требования нормативно-правовых документов, регламентирующих информационную безопасность. Решение данной проблемы возможно только при соблюдении принципов информационной безопасности, постоянной требовательности по соблюдению конфиденциальности со стороны руководителя ОУ.

С учетом этих недостатков для обеспечения информационной безопасности в ОУ требуется проведение следующих первоочередных мероприятий:

• — защита интеллектуальной собственности ОУ;
• — защита компьютеров, локальных сетей и сети подключения к системе Интернета в классе информатики ОУ;
• — организация защиты конфиденциальной информации, в т. ч. персональных данных работников и учащихся ОУ;
• — учет всех носителей конфиденциальной информации.

Реализация данного комплекса мер вносит кардинальные изменения в организацию работы с информационными ресурсами и технологиями, а также делопроизводства, в т. ч. и по вопросам безопасности.