Курсова робота
На тему: «Характеристика організаційних і технічно заходів інженерно-технічного захисту інформації в державних структурах»
Одоєвський Олексій Володимирович
Зміст
Введення
1 ОРГАНІЗАЦІЯ ОФІСНОЇ ДІЯЛЬНОСТІ
1.1 Офісні діяльність як особливий вид управлінської діяльності
1.2 Структура та функції офісної діяльності
1.3 Проблеми організації офісної діяльності
1.4 Поняття і функції офісних технологій
1.5 Технології захисту даних
Висновки по розділу
2 ОСНОВНІ НАПРЯМКИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЙНИХ РЕСУРСІВ
2.1 Інформаційна безпека підприємницької
діяльності
2.2 Інформаційні ресурси, продукти і послуги
2.3 Конфіденційність як головна умова захисту інформації від несанкціонованого доступу
2.4 Конфіденційні документи
2.5 Загрози конфіденційної інформації
2.6 Канали втрати інформації
Висновки по розділу
3 ОРГАНІЗАЦІЯ ІНЖЕНЕРНО-ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
3.1 Загальні положення щодо інженерно-технічного захисту інформації в організаціях
3.2 Організаційні та технічні заходи з інженерно-технічного захисту інформації
Висновки по розділу
Висновок
Список використаної літератури
Введення
У вирішенні проблеми інформаційної безпеки значне місце займає побудова ефективної системи організації роботи з персоналом, що володіє конфіденційною інформацією. У підприємницьких структурах персонал зазвичай включає в себе всіх співробітників даної фірми, у тому числі і керівників.
Персонал генерує нові ідеї, нововведення, відкриття та винаходи, які просувають науково-технічний прогрес, підвищують добробут співробітників фірми і є корисними не тільки для фірми в цілому, але і для кожного окремого співробітника. Кожен співробітник об'єктивно зацікавлений у збереженні в таємниці тих нововведень, які підвищують прибутки і престиж фірми. Незважаючи на це, персонал, на жаль, є в той же час основним джерелом втрати (розголошення, витоку) цінного і конфіденційної інформації.
Ніяка, навіть найдосконаліша в організаційному плані і чудово оснащена технічно система захисту інформації не може змагатися з винахідливістю і хитрістю людини, який задумав вкрасти або знищити цінну інформацію. Звичайний секретар керівника фірми має можливість завдати фірмі такий значний збиток, що опиниться під питанням саме її існування.
Багато фахівців із захисту інформації вважають, що при правильній організації роботи з персоналом захист інформації фірми відразу забезпечується не менше ніж на 80% без застосування будь-яких додаткових методів та засобів захисту.
Забезпечення безпеки інформації в інформаційних системах від випадкових або навмисних впливів персоналу, спрямованих на неправомірне використання, знищення, модифікацію тих чи інших даних, зміна ступеня доступності цінних відомостей в машинній і внемашинной сферах передбачає наявність надійної захисту цінних для підприємця документів, перш за все конфіденційних.
Необхідний рівень захищеності документованої інформації досягається значною мірою за рахунок використання в обробці традиційних, машиночитаних та електронних конфіденційних документів ефективною для конкретної фірми спеціалізованої традиційної чи автоматизованої технологічної системи, що дозволяє вирішувати задачі не тільки документаційного забезпечення управлінської та виробничої діяльності, а й збереження носіїв та конфіденційності інформації.
На тему: «Характеристика організаційних і технічно заходів інженерно-технічного захисту інформації в державних структурах»
Одоєвський Олексій Володимирович
Зміст
Введення
1 ОРГАНІЗАЦІЯ ОФІСНОЇ ДІЯЛЬНОСТІ
1.1 Офісні діяльність як особливий вид управлінської діяльності
1.2 Структура та функції офісної діяльності
1.3 Проблеми організації офісної діяльності
1.4 Поняття і функції офісних технологій
1.5 Технології захисту даних
Висновки по розділу
2 ОСНОВНІ НАПРЯМКИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЙНИХ РЕСУРСІВ
2.1 Інформаційна безпека підприємницької
діяльності
2.2 Інформаційні ресурси, продукти і послуги
2.3 Конфіденційність як головна умова захисту інформації від несанкціонованого доступу
2.4 Конфіденційні документи
2.5 Загрози конфіденційної інформації
2.6 Канали втрати інформації
Висновки по розділу
3 ОРГАНІЗАЦІЯ ІНЖЕНЕРНО-ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
3.1 Загальні положення щодо інженерно-технічного захисту інформації в організаціях
3.2 Організаційні та технічні заходи з інженерно-технічного захисту інформації
Висновки по розділу
Висновок
Список використаної літератури
Введення
У вирішенні проблеми інформаційної безпеки значне місце займає побудова ефективної системи організації роботи з персоналом, що володіє конфіденційною інформацією. У підприємницьких структурах персонал зазвичай включає в себе всіх співробітників даної фірми, у тому числі і керівників.
Персонал генерує нові ідеї, нововведення, відкриття та винаходи, які просувають науково-технічний прогрес, підвищують добробут співробітників фірми і є корисними не тільки для фірми в цілому, але і для кожного окремого співробітника. Кожен співробітник об'єктивно зацікавлений у збереженні в таємниці тих нововведень, які підвищують прибутки і престиж фірми. Незважаючи на це, персонал, на жаль, є в той же час основним джерелом втрати (розголошення, витоку) цінного і конфіденційної інформації.
Ніяка, навіть найдосконаліша в організаційному плані і чудово оснащена технічно система захисту інформації не може змагатися з винахідливістю і хитрістю людини, який задумав вкрасти або знищити цінну інформацію. Звичайний секретар керівника фірми має можливість завдати фірмі такий значний збиток, що опиниться під питанням саме її існування.
Багато фахівців із захисту інформації вважають, що при правильній організації роботи з персоналом захист інформації фірми відразу забезпечується не менше ніж на 80% без застосування будь-яких додаткових методів та засобів захисту.
Забезпечення безпеки інформації в інформаційних системах від випадкових або навмисних впливів персоналу, спрямованих на неправомірне використання, знищення, модифікацію тих чи інших даних, зміна ступеня доступності цінних відомостей в машинній і внемашинной сферах передбачає наявність надійної захисту цінних для підприємця документів, перш за все конфіденційних.
Необхідний рівень захищеності документованої інформації досягається значною мірою за рахунок використання в обробці традиційних, машиночитаних та електронних конфіденційних документів ефективною для конкретної фірми спеціалізованої традиційної чи автоматизованої технологічної системи, що дозволяє вирішувати задачі не тільки документаційного забезпечення управлінської та виробничої діяльності, а й збереження носіїв та конфіденційності інформації.
1 ОРГАНІЗАЦІЯ ОФІСНОЇ ДІЯЛЬНОСТІ
1.1. Офісні діяльність як особливий вид управлінської діяльності
Для визначення змісту поняття «офісна діяльність» необхідно звернутися до розгляду категорій, так чи інакше пов'язаних з визначеним поняттям. Вихідним тут є «система управління», основними утворюючими поняттями - «система» і «управління». При всій їх важливості для сучасної науки до цих пір вони не мають загальноприйнятих формальних визначень.
Поняття «система» широко поширене в науковій літературі з різних галузей знань. Кожен автор, визначаючи це поняття, підкреслює той бік, ті аспекти, які його цікавлять і які він досліджує. Проте можна сформулювати вимоги, яким повинен задовольняти об'єкт, щоб він розглядався в якості системи.
Перш за все це цілісність об'єкта. Будь-яка освіта, будь-яка множина об'єктів може бути названо системою, якщо його розгляд як цілого виправдано з будь-якої точки зору і може допомогти дослідникові відповісти на поставлене питання, вирішити сформульоване завдання. Природно, що часом існування такої системи є період, протягом якого ставиться і вирішується завдання. Об'єкт, який утворює систему, продовжує існувати, але він буде утворювати вже іншу систему у відповідності з новими завданнями вивчення. Таким чином, завжди необхідно визначити мету вивчення, критерій, що обумовлює існування даного об'єкту як цілого. Наявність такого критерію є другим необхідною умовою, розгляду об'єкта як системи.
Третя умова - даний об'єкт повинен бути частиною, підсистемою деякої більшої системи, що дозволяє визначити, з якими іншими об'єктами і яким чином він взаємодіє.
Останнє, четверте умову, необхідну для розгляду об'єкта як системи, - можливість розбиття його на частини, на підсистеми. Це дозволяє з'ясувати, які зв'язки і взаємодії між складовими об'єкт елементами забезпечують його єдність, існування як цілого.
Для ілюстрації розглянутого підходу до визначення сутності поняття «система» звернемося до об'єктів виробничого та економічного характеру.
Всі відомі нам виробничі та економічні об'єкти в процесі свого функціонування виступають як цілісні утворення (міжнародні та регіональні економічні об'єднання, національна економіка, галузь промисловості, виробниче об'єднання, торгова фірма, промислове підприємство, цех, виробничий ділянку і т. п.) з чітко визначеними кордонами (фізичними, юридичними та ін.)
Існування виробничих та економічних об'єктів як цілісних утворень визначається насамперед їх призначенням, яке полягає в кінцевому рахунку в задоволенні матеріальних потреб суспільства, причому для кожного конкретного об'єкта визначені конкретні види готової продукції і надаваних послуг.
Кожен виробничий і економічний об'єкт входить як елемент в іншу систему економічного та виробничого характеру, що визначає склад та види його взаємодій з навколишнім середовищем, серед яких можна виділити матеріальні, енергетичні, інформаційні і т. п.
У свою чергу, кожен виробничий і економічний об'єкт складається з безлічі різних елементів, взаємодія яких і забезпечує його існування і виконання ним свого призначення в рамках суспільства.
Таким чином, виконуються всі перераховані вимоги до розгляду об'єкта як системи. Отже, всі виробничі та економічні об'єкти є системами.
Подібне розгляд об'єктів іншого характеру (наукового, військового, культурного та ін) призводить до таких же результатів.
Поняття «управління», так само як і поняття «система», до цих пір не має загальноприйнятого визначення, але тим не менш в більшості випадків можна виділити процеси управління. Якщо проаналізувати всі випадки, з'ясується, що процеси управління пов'язані зі змінами, що відбуваються в системі в результаті її взаємодії з навколишнім середовищем. Оскільки будь-яка реальна система є відкритою, тобто взаємодіє із зовнішнім середовищем, остільки в ній відбуваються зміни, які можуть мати дві крайні і протилежні один одному форми - це деградація (руйнування системи) і розвиток (ускладнення системи, накопичення нею інформації). Разом з тим можливо і тимчасова рівновага між системою і середовищем, завдяки якому система протягом певного часу або залишається відносно незмінною, або відчуває лише оборотні зміни, що не порушують її цілісності.
Кількісною характеристикою організованості системи є її ентропія, більше значення якої відповідає меншому рівню складності та організації системи. Для збереження цілісності системи необхідні процеси, що перешкоджають збільшення ентропії. Це і є процеси управління, спільним для яких є їх антіентропійний характер. У зв'язку з цим процес управління за своєю суттю є антиподом процесу дезорганізації. Він дозволяє залежно від особливостей конкретних систем стабілізувати систему, зберегти її якісну визначеність, підтримати її динамічну рівновагу із середовищем, забезпечити вдосконалення системи і досягнення того або іншого корисного ефекту. Коротше кажучи, управління - це забезпечення незбільшення ентропії системи.
Як вже зазначалося, будь-яка реальна система взаємодіє із зовнішнім середовищем, в результаті чого з нею відбуваються зміни різного роду, що виражаються в протіканні деякого процесу. Цей процес зміни системи і викликає необхідність управління. Таким чином, в основі будь-якої системи управління лежить процес, що вимагає управління.
Проте не всяке протікання процесу вимагає управління, а лише те, яке веде до збільшення ентропії. У зв'язку з цим необхідно пов'язати характер змін, що лежать в основі процесу, з критерієм якості системи, тобто потрібно визначити мету управління. У цьому сенсі системи управління мають цілеспрямованістю.
Далі, оскільки здійснення процесів управління виділяється в відокремлену функцію, то на її виконанні спеціалізуються деякі елементи системи. У зв'язку з цим системи управління володіють певною структурою, а саме складаються з керованого процесу і керуючої частини. Дане положення є досить принциповим, оскільки існують об'єкти, які протягом певного інтервалу часу зберігають свою якісну визначеність і без явно вираженого керуючого компонента. Як правило, це досить прості фізичні об'єкти (камінь, стілець і т. п.), які в подальшому нами розглядатися не будуть.
Керуюча частина надає на керований процес певні дії, щоб у відповідності з метою управління забезпечити збереження якісної визначеності всієї системи. Щоб керуюча частина могла здійснювати управління, їй потрібно зіставляти фактичний стан керованого процесу з метою управління, у зв'язку з чим керований процес впливає на керуючу частину. Вплив обох частин один на одного здійснюється у вигляді передачі інформації, тому в системі управління завжди присутній замкнутий інформаційний контур (рис. 1).
SHAPE \ * MERGEFORMAT
Малюнок 1. Структура системи управління
Представлена на малюнку 1 схема носить загальний характер і справедлива для будь-якої системи управління.
Керуюча частина, у свою чергу, включає ряд елементів. До складу елементів входять:
вимірювальні;
виконавчі;
вирішальні.
Кожен з них виконує певну функцію в реалізації процесу управління, і між собою вони пов'язані інформаційними зв'язками. Ці елементи пов'язані між собою і з зовнішнім середовищем за допомогою передачі інформації:
про цілі управління;
про стан керованого процесу;
про керуючих впливах.
Рис. 2. Детальна структура системи управління
На малюнку 2 представлена схема системи управління з урахуванням складу елементів керуючої частини.
Керований процес може мати досить складну структуру, обумовлюється конкретними особливостями його перебігу, і складатися з підпроцесів, відносно автономних і різним чином взаємодіють один з одним. Автономність підпроцесів виражається в їх певної локалізації в часі і просторі, наявності власних критеріїв якості.
Складна конфігурація керованого процесу породжує і відповідне ускладнення керуючої частини системи управління, що призводить до появи додаткових координуючих елементів, найчастіше декількох рівнів. Можна говорити про відносну самостійність керуючої частини вже зі своїми критеріями функціонування, складною структурою, принципами та законами внутрішнього існування, тобто мова йде вже швидше про керуючу системі. А це означає, що функціонування такої системи визначає відповідний і відмінний від інших (породжуваних керованим процесом) специфічний вид діяльності - управлінську діяльність.
Виходячи з розглянутих положень можна визначити управлінську діяльність як певним чином організовану в просторі і часі сукупність дій безлічі людей (персоналу), реалізація яких у рамках керуючої системи забезпечує реалізацію функцій керованого процесу, а отже, і досягнення цілей системи управління в цілому.
Дане визначення передбачає наявність наступних характеристик управлінської діяльності:
управлінська діяльність здійснюється протягом певного тимчасового інтервалу (часу існування системи управління);
управлінська діяльність здійснюється в певних просторових межах, як правило визначаються місцем розміщення керуючої системи;
управлінська діяльність реалізується людьми, для яких вона є основним видом діяльності
зміст управлінської діяльності визначається завданнями, рішення яких призводить до негентропійної протіканню керованого процесу.
Проблеми організації управлінської діяльності багато в чому зводяться до проблем вироблення та реалізації управлінських рішень, пов'язаних з безпосереднім впливом на керований процес, і відповідні Теоретико-методологічні та практичні розробки велися і ведуться саме в зазначеній галузі. Але, маючи на увазі складність самої управляючої системи, її відносно самостійне існування, наявність внутрішніх, часом суперечливих особливостей реалізації різних функцій, необхідно вказати і на необхідність управління самої управлінської діяльністю, яке є особливою її різновидом.
Як вже зазначалося, управлінська діяльність у тому сенсі, в якому ми її визначили, просторово локалізована рамками фізичного розміщення керуючої системи. Зазначене фізичне розміщення в різний час і в різних місцях реалізовувалося по-різному: накази в Стародавній Русі, колегії в петровській Росії, міністерства і відомства в сучасному суспільстві, заводоуправління на промислових підприємствах, деканати на факультетах вищих навчальних закладів і т. п. Для позначення зазначених об'єктів в даний час існує узагальнена назва - офіс.
Відповідно до викладеного вище уявленнями про системи управління під офісом розуміється фізична реалізація умов виконання управлінської діяльності в рамках керуючої системи, а забезпечення його функціонування, тобто управління самої управлінської діяльністю - офісною діяльністю.
1.2. Структура та функції офісної діяльності
Виходячи з того, що для досить складних керованих процесів (а до таких і відносяться соціальні та економічні процеси і явища) керуюча частина розглядається як керуюча система, то її саму слід приймати за систему управління, в якій керованим процесом є реалізована в рамках офісу управлінська діяльність .
І тоді, як випливає з попереднього розгляду, офісні діяльність - це певним чином організована у просторі та часі сукупність дій безлічі людей (персоналу), реалізація яких забезпечує умови ефективного виконання управлінської діяльності для конкретної системи, управління.
1.1. Офісні діяльність як особливий вид управлінської діяльності
Для визначення змісту поняття «офісна діяльність» необхідно звернутися до розгляду категорій, так чи інакше пов'язаних з визначеним поняттям. Вихідним тут є «система управління», основними утворюючими поняттями - «система» і «управління». При всій їх важливості для сучасної науки до цих пір вони не мають загальноприйнятих формальних визначень.
Поняття «система» широко поширене в науковій літературі з різних галузей знань. Кожен автор, визначаючи це поняття, підкреслює той бік, ті аспекти, які його цікавлять і які він досліджує. Проте можна сформулювати вимоги, яким повинен задовольняти об'єкт, щоб він розглядався в якості системи.
Перш за все це цілісність об'єкта. Будь-яка освіта, будь-яка множина об'єктів може бути названо системою, якщо його розгляд як цілого виправдано з будь-якої точки зору і може допомогти дослідникові відповісти на поставлене питання, вирішити сформульоване завдання. Природно, що часом існування такої системи є період, протягом якого ставиться і вирішується завдання. Об'єкт, який утворює систему, продовжує існувати, але він буде утворювати вже іншу систему у відповідності з новими завданнями вивчення. Таким чином, завжди необхідно визначити мету вивчення, критерій, що обумовлює існування даного об'єкту як цілого. Наявність такого критерію є другим необхідною умовою, розгляду об'єкта як системи.
Третя умова - даний об'єкт повинен бути частиною, підсистемою деякої більшої системи, що дозволяє визначити, з якими іншими об'єктами і яким чином він взаємодіє.
Останнє, четверте умову, необхідну для розгляду об'єкта як системи, - можливість розбиття його на частини, на підсистеми. Це дозволяє з'ясувати, які зв'язки і взаємодії між складовими об'єкт елементами забезпечують його єдність, існування як цілого.
Для ілюстрації розглянутого підходу до визначення сутності поняття «система» звернемося до об'єктів виробничого та економічного характеру.
Всі відомі нам виробничі та економічні об'єкти в процесі свого функціонування виступають як цілісні утворення (міжнародні та регіональні економічні об'єднання, національна економіка, галузь промисловості, виробниче об'єднання, торгова фірма, промислове підприємство, цех, виробничий ділянку і т. п.) з чітко визначеними кордонами (фізичними, юридичними та ін.)
Існування виробничих та економічних об'єктів як цілісних утворень визначається насамперед їх призначенням, яке полягає в кінцевому рахунку в задоволенні матеріальних потреб суспільства, причому для кожного конкретного об'єкта визначені конкретні види готової продукції і надаваних послуг.
Кожен виробничий і економічний об'єкт входить як елемент в іншу систему економічного та виробничого характеру, що визначає склад та види його взаємодій з навколишнім середовищем, серед яких можна виділити матеріальні, енергетичні, інформаційні і т. п.
У свою чергу, кожен виробничий і економічний об'єкт складається з безлічі різних елементів, взаємодія яких і забезпечує його існування і виконання ним свого призначення в рамках суспільства.
Таким чином, виконуються всі перераховані вимоги до розгляду об'єкта як системи. Отже, всі виробничі та економічні об'єкти є системами.
Подібне розгляд об'єктів іншого характеру (наукового, військового, культурного та ін) призводить до таких же результатів.
Поняття «управління», так само як і поняття «система», до цих пір не має загальноприйнятого визначення, але тим не менш в більшості випадків можна виділити процеси управління. Якщо проаналізувати всі випадки, з'ясується, що процеси управління пов'язані зі змінами, що відбуваються в системі в результаті її взаємодії з навколишнім середовищем. Оскільки будь-яка реальна система є відкритою, тобто взаємодіє із зовнішнім середовищем, остільки в ній відбуваються зміни, які можуть мати дві крайні і протилежні один одному форми - це деградація (руйнування системи) і розвиток (ускладнення системи, накопичення нею інформації). Разом з тим можливо і тимчасова рівновага між системою і середовищем, завдяки якому система протягом певного часу або залишається відносно незмінною, або відчуває лише оборотні зміни, що не порушують її цілісності.
Кількісною характеристикою організованості системи є її ентропія, більше значення якої відповідає меншому рівню складності та організації системи. Для збереження цілісності системи необхідні процеси, що перешкоджають збільшення ентропії. Це і є процеси управління, спільним для яких є їх антіентропійний характер. У зв'язку з цим процес управління за своєю суттю є антиподом процесу дезорганізації. Він дозволяє залежно від особливостей конкретних систем стабілізувати систему, зберегти її якісну визначеність, підтримати її динамічну рівновагу із середовищем, забезпечити вдосконалення системи і досягнення того або іншого корисного ефекту. Коротше кажучи, управління - це забезпечення незбільшення ентропії системи.
Як вже зазначалося, будь-яка реальна система взаємодіє із зовнішнім середовищем, в результаті чого з нею відбуваються зміни різного роду, що виражаються в протіканні деякого процесу. Цей процес зміни системи і викликає необхідність управління. Таким чином, в основі будь-якої системи управління лежить процес, що вимагає управління.
Проте не всяке протікання процесу вимагає управління, а лише те, яке веде до збільшення ентропії. У зв'язку з цим необхідно пов'язати характер змін, що лежать в основі процесу, з критерієм якості системи, тобто потрібно визначити мету управління. У цьому сенсі системи управління мають цілеспрямованістю.
Далі, оскільки здійснення процесів управління виділяється в відокремлену функцію, то на її виконанні спеціалізуються деякі елементи системи. У зв'язку з цим системи управління володіють певною структурою, а саме складаються з керованого процесу і керуючої частини. Дане положення є досить принциповим, оскільки існують об'єкти, які протягом певного інтервалу часу зберігають свою якісну визначеність і без явно вираженого керуючого компонента. Як правило, це досить прості фізичні об'єкти (камінь, стілець і т. п.), які в подальшому нами розглядатися не будуть.
Керуюча частина надає на керований процес певні дії, щоб у відповідності з метою управління забезпечити збереження якісної визначеності всієї системи. Щоб керуюча частина могла здійснювати управління, їй потрібно зіставляти фактичний стан керованого процесу з метою управління, у зв'язку з чим керований процес впливає на керуючу частину. Вплив обох частин один на одного здійснюється у вигляді передачі інформації, тому в системі управління завжди присутній замкнутий інформаційний контур (рис. 1).
SHAPE \ * MERGEFORMAT
Керуюча частина |
Керований процес |
Малюнок 1. Структура системи управління
Представлена на малюнку 1 схема носить загальний характер і справедлива для будь-якої системи управління.
Керуюча частина, у свою чергу, включає ряд елементів. До складу елементів входять:
вимірювальні;
виконавчі;
вирішальні.
Кожен з них виконує певну функцію в реалізації процесу управління, і між собою вони пов'язані інформаційними зв'язками. Ці елементи пов'язані між собою і з зовнішнім середовищем за допомогою передачі інформації:
про цілі управління;
про стан керованого процесу;
про керуючих впливах.
Рис. 2. Детальна структура системи управління
На малюнку 2 представлена схема системи управління з урахуванням складу елементів керуючої частини.
Керований процес може мати досить складну структуру, обумовлюється конкретними особливостями його перебігу, і складатися з підпроцесів, відносно автономних і різним чином взаємодіють один з одним. Автономність підпроцесів виражається в їх певної локалізації в часі і просторі, наявності власних критеріїв якості.
Складна конфігурація керованого процесу породжує і відповідне ускладнення керуючої частини системи управління, що призводить до появи додаткових координуючих елементів, найчастіше декількох рівнів. Можна говорити про відносну самостійність керуючої частини вже зі своїми критеріями функціонування, складною структурою, принципами та законами внутрішнього існування, тобто мова йде вже швидше про керуючу системі. А це означає, що функціонування такої системи визначає відповідний і відмінний від інших (породжуваних керованим процесом) специфічний вид діяльності - управлінську діяльність.
Виходячи з розглянутих положень можна визначити управлінську діяльність як певним чином організовану в просторі і часі сукупність дій безлічі людей (персоналу), реалізація яких у рамках керуючої системи забезпечує реалізацію функцій керованого процесу, а отже, і досягнення цілей системи управління в цілому.
Дане визначення передбачає наявність наступних характеристик управлінської діяльності:
управлінська діяльність здійснюється протягом певного тимчасового інтервалу (часу існування системи управління);
управлінська діяльність здійснюється в певних просторових межах, як правило визначаються місцем розміщення керуючої системи;
управлінська діяльність реалізується людьми, для яких вона є основним видом діяльності
зміст управлінської діяльності визначається завданнями, рішення яких призводить до негентропійної протіканню керованого процесу.
Проблеми організації управлінської діяльності багато в чому зводяться до проблем вироблення та реалізації управлінських рішень, пов'язаних з безпосереднім впливом на керований процес, і відповідні Теоретико-методологічні та практичні розробки велися і ведуться саме в зазначеній галузі. Але, маючи на увазі складність самої управляючої системи, її відносно самостійне існування, наявність внутрішніх, часом суперечливих особливостей реалізації різних функцій, необхідно вказати і на необхідність управління самої управлінської діяльністю, яке є особливою її різновидом.
Як вже зазначалося, управлінська діяльність у тому сенсі, в якому ми її визначили, просторово локалізована рамками фізичного розміщення керуючої системи. Зазначене фізичне розміщення в різний час і в різних місцях реалізовувалося по-різному: накази в Стародавній Русі, колегії в петровській Росії, міністерства і відомства в сучасному суспільстві, заводоуправління на промислових підприємствах, деканати на факультетах вищих навчальних закладів і т. п. Для позначення зазначених об'єктів в даний час існує узагальнена назва - офіс.
Відповідно до викладеного вище уявленнями про системи управління під офісом розуміється фізична реалізація умов виконання управлінської діяльності в рамках керуючої системи, а забезпечення його функціонування, тобто управління самої управлінської діяльністю - офісною діяльністю.
1.2. Структура та функції офісної діяльності
Виходячи з того, що для досить складних керованих процесів (а до таких і відносяться соціальні та економічні процеси і явища) керуюча частина розглядається як керуюча система, то її саму слід приймати за систему управління, в якій керованим процесом є реалізована в рамках офісу управлінська діяльність .
І тоді, як випливає з попереднього розгляду, офісні діяльність - це певним чином організована у просторі та часі сукупність дій безлічі людей (персоналу), реалізація яких забезпечує умови ефективного виконання управлінської діяльності для конкретної системи, управління.
Це визначення передбачає наявність наступних структурних характеристик офісної діяльності:
- Офісна діяльність здійснюється в певних просторових межах, визначених сукупністю параметрів розміщення офісу: кількістю місць локалізації (одне або декілька), їх ієрархічної соподчиненностью (центральний або філія) та іншими показниками функціонування офісу в просторі;
- Офісна діяльність здійснюється протягом певного тимчасового інтервалу, тобто володіє сукупністю часових параметрів: моментами початку і закінчення здійснення, чергуванням періодів з різними інтенсивностями своєї реалізації, іншими показниками функціонування офісу в часі;
- Офісна діяльність реалізується людьми, для яких вона повністю або частково є основним видом діяльності, що характеризується складом відповідного персоналу, його кваліфікацією і стажем, розподілом прав і обов'язків і т. п.;
- Зміст офісної діяльності визначається завданнями забезпечення умов для ефективної реалізації управлінської діяльності - керованого по відношенню до офісної діяльності процесу.
Розкриття перерахованих характеристик офісної діяльності необхідно здійснити передусім через зміст управлінської діяльності, яка в істотній своїй частині зводиться до вироблення та прийняття управлінських рішень.
Категорія «управлінське рішення» має багатоаспектне зміст. У широкому сенсі термін «управлінське рішення» можна розуміти як концентроване вираження процесу управління на його заключній стадії, як команду, що підлягає виконанню, що надходить від керуючої частини системи до керованого процесу. Відзначимо три пов'язаних між собою змістовних прояви управлінського рішення:
по-перше, управлінське рішення - це вид діяльності, що протікає в керуючої частини системи і пов'язаний з підготовкою, знаходженням, вибором і прийняттям певних варіантів дій;
по-друге, управлінське рішення - це варіант впливу керуючої частини системи на керований процес, формула впливу, тобто опис передбачуваних дій керуючої частини системи по відношенню до об'єкта управління (керованої процесу);
по-третє, управлінське рішення - це організаційно-практична діяльність по реалізації обраного впливу.
Перший прояв управлінського рішення відображає в основному сутність управлінської діяльності, друге - її результат, а третє - забезпечення ефективної реалізації цього результату, тобто певним чином обумовлює зміст офісної діяльності.
Управлінське рішення приймається тоді, коли виявлена та чи інша управлінська проблема, проблемна ситуація, тобто такий стан, коли за наявності даного, існуючого стану керованого об'єкта (процесу) виникає необхідність іншого, оскільки збереження цього стану заважає нормальному його функціонуванню, вдосконалення та розвитку.
Виявивши проблему, важливо всебічно її дослідити, тобто:
- Визначити причини та умови її виникнення;
- Її важливість, значимість;
- Який характер рішення необхідний в даній проблемній ситуації;
- Які її можливі наслідки;
- Яке ставлення до проблеми людей;
- Де може бути прийнято рішення (в даній системі або поза нею);
- Чи є ресурси для вирішення проблеми;
- Хто з людей здатний до вирішення;
- Яка інформація необхідна і т. д.
При підготовці рішення необхідно також виявити і врахувати обмеження, в рамках яких буде реалізовуватися мета, вирішуватися завдання. Ці обмеження можуть бути внутрішніми (для підприємства, наприклад, це продуктивність обладнання, наявність і кваліфікація спеціалістів і робітників, наявність інформації і т. д.) і зовнішніми (терміни виконання завдання, фінанси, технічні норми, планові показники, налагодженість зв'язків з постачальниками і т. д.).
Процес підготовки і вироблення рішень складний і многосторонен, містить в собі цілий ряд етапів і стадій, які пов'язані з виконанням різних дій, операцій, зі специфічними формами управлінської діяльності.
Питання про те, скільки і яких стадій у процесі підготовки та прийняття рішень, яке конкретне зміст управлінської діяльності на них, - спірне і неоднаково вирішується різними дослідниками та фахівцями.
Проте ясно одне: скільки б етапів ні виділялося, основним, вихідним у підготовці рішень є процес збору і переробки інформації про стан системи та навколишнього її середовища. У досить загальному вигляді процес вироблення і прийняття рішень може бути структурований так, як це представлено на рис. 3.
- Офісна діяльність здійснюється в певних просторових межах, визначених сукупністю параметрів розміщення офісу: кількістю місць локалізації (одне або декілька), їх ієрархічної соподчиненностью (центральний або філія) та іншими показниками функціонування офісу в просторі;
- Офісна діяльність здійснюється протягом певного тимчасового інтервалу, тобто володіє сукупністю часових параметрів: моментами початку і закінчення здійснення, чергуванням періодів з різними інтенсивностями своєї реалізації, іншими показниками функціонування офісу в часі;
- Офісна діяльність реалізується людьми, для яких вона повністю або частково є основним видом діяльності, що характеризується складом відповідного персоналу, його кваліфікацією і стажем, розподілом прав і обов'язків і т. п.;
- Зміст офісної діяльності визначається завданнями забезпечення умов для ефективної реалізації управлінської діяльності - керованого по відношенню до офісної діяльності процесу.
Розкриття перерахованих характеристик офісної діяльності необхідно здійснити передусім через зміст управлінської діяльності, яка в істотній своїй частині зводиться до вироблення та прийняття управлінських рішень.
Категорія «управлінське рішення» має багатоаспектне зміст. У широкому сенсі термін «управлінське рішення» можна розуміти як концентроване вираження процесу управління на його заключній стадії, як команду, що підлягає виконанню, що надходить від керуючої частини системи до керованого процесу. Відзначимо три пов'язаних між собою змістовних прояви управлінського рішення:
по-перше, управлінське рішення - це вид діяльності, що протікає в керуючої частини системи і пов'язаний з підготовкою, знаходженням, вибором і прийняттям певних варіантів дій;
по-друге, управлінське рішення - це варіант впливу керуючої частини системи на керований процес, формула впливу, тобто опис передбачуваних дій керуючої частини системи по відношенню до об'єкта управління (керованої процесу);
по-третє, управлінське рішення - це організаційно-практична діяльність по реалізації обраного впливу.
Перший прояв управлінського рішення відображає в основному сутність управлінської діяльності, друге - її результат, а третє - забезпечення ефективної реалізації цього результату, тобто певним чином обумовлює зміст офісної діяльності.
Управлінське рішення приймається тоді, коли виявлена та чи інша управлінська проблема, проблемна ситуація, тобто такий стан, коли за наявності даного, існуючого стану керованого об'єкта (процесу) виникає необхідність іншого, оскільки збереження цього стану заважає нормальному його функціонуванню, вдосконалення та розвитку.
Виявивши проблему, важливо всебічно її дослідити, тобто:
- Визначити причини та умови її виникнення;
- Її важливість, значимість;
- Який характер рішення необхідний в даній проблемній ситуації;
- Які її можливі наслідки;
- Яке ставлення до проблеми людей;
- Де може бути прийнято рішення (в даній системі або поза нею);
- Чи є ресурси для вирішення проблеми;
- Хто з людей здатний до вирішення;
- Яка інформація необхідна і т. д.
При підготовці рішення необхідно також виявити і врахувати обмеження, в рамках яких буде реалізовуватися мета, вирішуватися завдання. Ці обмеження можуть бути внутрішніми (для підприємства, наприклад, це продуктивність обладнання, наявність і кваліфікація спеціалістів і робітників, наявність інформації і т. д.) і зовнішніми (терміни виконання завдання, фінанси, технічні норми, планові показники, налагодженість зв'язків з постачальниками і т. д.).
Процес підготовки і вироблення рішень складний і многосторонен, містить в собі цілий ряд етапів і стадій, які пов'язані з виконанням різних дій, операцій, зі специфічними формами управлінської діяльності.
Питання про те, скільки і яких стадій у процесі підготовки та прийняття рішень, яке конкретне зміст управлінської діяльності на них, - спірне і неоднаково вирішується різними дослідниками та фахівцями.
Проте ясно одне: скільки б етапів ні виділялося, основним, вихідним у підготовці рішень є процес збору і переробки інформації про стан системи та навколишнього її середовища. У досить загальному вигляді процес вироблення і прийняття рішень може бути структурований так, як це представлено на рис. 3.
| Виявлення проблеми |
| Формалізація проблеми |
| Вибір рішення |
| Реалізація рішення |
| Оцінка наслідків прийнятого рішення |
Малюнок 3. Структура процесу вироблення і прийняття рішення
У процесі переробки інформації, її аналізу та узагальнення виявляється сутність даної управлінської ситуації. Ситуація зіставляється з метою, що стоїть перед системою, а розбіжність між реальним станом речей і метою дозволяє визначити проблему, заради якої приймається рішення. Надалі цей процес передбачає ретельний аналіз проблеми, постановку завдань і цілей, точне формулювання проблеми, розробку та оцінку альтернатив, виявлення та оцінку можливих наслідків, розробку плану реалізації рішення, вибір людей, шляхів і засобів реалізації.
Розглянемо зміст окремих етапів процесу вироблення та прийняття управлінських рішень.
На першому етапі (виявлення проблеми) на підставі зіставлення фактичного і бажаного (або заданого) станів керованого об'єкта визначається необхідність надання на нього керуючих впливів, породжує відповідну управлінську проблему. Конкретний зміст діяльності на цьому етапі визначається постановкою задачі прийняття рішень, в якій повинні бути сформульовані відповіді на наступні питання:
- Яку управлінську проблему потрібно вирішити;
- В яких умовах потрібно вирішити;
- Коли її потрібно вирішувати;
- Якими силами і засобами буде вирішуватися проблема.
Результатом тут, як правило, є змістовний опис проблемної ситуації.
На другому етапі (формалізація проблеми) проводиться аналіз проблемної ситуації, в ході якого конкретизуються:
- Цілі, що досягаються при вирішенні проблеми;
- Обмеження при реалізації дій щодо усунення проблемної ситуації;
- Можливі методи і засоби вирішення задачі.
Це означає, що змістовно поставлена управлінське завдання як деяка проблемна ситуація на даному етапі приводиться до деякого структурованого увазі, що дозволяє з деякою визначеністю або застосувати для розв'язання задачі вже відомі методи, або здійснити пошук або розробку нових методів.
На третьому етапі (формування множини альтернатив) на основі структурованої задачі прийняття рішень та застосування певних методів її аналізу та обробки формують різні варіанти рішення задачі. Слід зазначити, що навіть єдиний вироблений варіант управлінського рішення не є таким, тому що він має альтернативу - відсутність будь-яких дій на керований об'єкт.
На четвертому етапі (вибір рішення) на основі певних правил (переваг) з попередньо сформованого безлічі варіантів вибирається один-єдиний, який і втілюється у вигляді управлінського рішення. При оцінюванні різних варіантів рішень - необхідної основи вибору - може виникнути необхідність коригування як множини альтернатив, так і структуризації (формалізації) самої задачі прийняття рішень, що призведе до повернення на відповідні етапи процесу вироблення і прийняття рішень.
Слід зазначити, що описані етапи здійснюються в рамках вирішального елементу керуючої системи.
Виконання прийнятого управлінського рішення (п'ятий етап) покладено на виконавчий елемент, а оцінювання стану керованого об'єкта як результату реалізації рішення (шостий етап) - на вимірювальний елемент.
Зіставляючи зміст поняття «управлінське рішення» і окремих етапів процесу його вироблення і прийняття, можна прийти до висновку, що для ефективного управління необхідні відповідне інформаційне забезпечення (пошук, збір, зберігання і представлення інформації на різних етапах) і відповідним чином організовані процедури реалізації управлінського рішення . Саме це й становить основний зміст офісної діяльності.
Тепер перейдемо до розгляду перерахованих структурних компонентів офісної діяльності (просторові, часові та кадрові характеристики).
Оскільки характеристики керованого процесу істотним чином визначають властивості керуючої системи, а отже, і характер протікання офісної діяльності, має сенс розглянути його можливі конфігурації.
1. Керований процес характеризується відносною простотою і цілісністю, тобто не розбивається на такі підпроцеси, які вимагають окремих керуючих частин (обробка деталей на окремому виробничому ділянці цеху машинобудівного підприємства, будівництво житлового будинку, лікувальний процес в стоматологічному кабінеті і т. п.), - елементарний керований процес.
2. Керований процес складається з невеликої кількості взаємодіючих однорідних підпроцесів, локалізованих на відносно обмеженому просторі і мають власні керуючі частини (виробничий процес у цеху машинобудівного підприємства, навчальний процес на факультеті вищого навчального закладу, експлуатація житлових будинків на території одного будинкоуправління і т. п.), - локалізований керований процес з однорідними елементами.
3. Керований процес складається з взаємодіючих різнорідних підпроцесів, локалізованих на відносно обмеженому просторі і мають власні керуючі частини (виробництво різноманітної продукції на промисловому підприємстві з різними виробничими цехами та забезпечують службами, лікувальний процес в клінічній лікарні, постановочний процес в театрі і т. п.), - локалізований керований процес з різнорідними елементами.
4. Керований процес складається з відносно автономних однорідних підпроцесів, розподілених у просторі і мають власні керуючі частини (торгівля в мережі магазинів, навчальний процес у многофилиальном інституті заочної освіти і т. п.), - розподілений керований процес з однорідними елементами.
5. Керований процес складається з відносно автономних різнорідних підпроцесів, розподілених у просторі і мають власні керуючі частини (виробництво різноманітної продукції в рамках виробничого об'єднання, виробництво одного виду продукції в рамках об'єднання спеціалізованих підприємств, міське господарство і т. п.), - розподілений керований процес з різнорідними елементами.
6. Керований процес зі складною структурою і має глобальний характер (виробнича діяльність міжнаціональних корпорацій, діяльність органів державного управління і т. п.), - глобальний керований процес.
Просторові характеристики офісної діяльності істотно визначаються змістом, масштабами і характером протікання процесу, що є керованим по відношенню до тієї керуючої системі, діяльність якої забезпечується, і практично збігаються з аналогічними характеристиками управлінської діяльності.
Для елементарних керованих процесів керуюча частина просторово реалізується у вигляді щодо ізольованого робочого місця безпосередньо в рамках керованого процесу (наприклад, конторка майстри на виробничій дільниці машинобудівного заводу або вагончик виконроба на будівництві якого-небудь об'єкта).
Для локалізованих керованих процесів з однорідними елементами керуюча частина має щонайменше дворівневу структуру, де на нижньому рівні представлені незалежні один від одного керуючі частини - елементарних однорідних підпроцесів, а на верхньому - координуюча їх роботу керуюча підсистема, що забезпечує цілеспрямоване функціонування керованого процесу в цілому. Так, управлінська діяльність для цеху машіно.строітельного заводу організована в рамках декількох функціонально орієнтованих бюро, розміщених поряд з виробничими ділянками, але ізольованих від них.
Для локалізованих керованих процесів з різнорідними елементами керуюча частина (чи, радше, система) також може мати дворівневу структуру, але на відміну від попереднього випадку на нижньому рівні різнорідні керовані підпроцеси мають вже різні керуючі частини, що породжує значно більш складну за своєю будовою керуючу систему на верхньому рівні. Приклад тому - керуюча система на великому машинобудівному підприємстві, що включає в себе заводоуправління досить складної структури і служби управління цехами та виробництвами, які, у свою чергу, стоять над елементарними керованими процесами з їх керівниками частинами (що дозволяє говорити скоріше не про дво-, а про трирівневу систему).
Розподілені керовані процеси з однорідними елементами з точки зору функціональної структури мають ту ж будову керуючої частини, що й аналогічні локалізовані керовані процеси, але просторова розподіленість передбачає велику автономію керуючих частин однорідних підпроцесів від керуючої системи верхнього рівня, яка існує і функціонує вже практично поза керованого процесу в цілому, як це має місце, наприклад, у мережі продажу автомобільного палива, де, крім бензоколонок в різних районах міста, є центральна контора, що здійснює загальне керівництво.
Схожу структуру керуючої системи мають розподілені керовані процеси з різнорідними елементами, але тут саме різнорідність підпроцесів породжує дуже високу ступінь автономності відповідних керуючих частин, що веде до ще більш складній структурі керуючих компонентів верхнього рівня, приводячи до появи у них кількох підрівнів управління, що характерно для великих регіональних (наприклад, міських чи обласних) служб комунального господарства або військових організацій типу військових округів.
Граничний рівень складності мають глобальні керовані процеси, які породжують відповідні управляючі системи з часто унікальними структурами, як це має місце з органами державного управління в різних країнах або з апаратом управління різних міжнародних організацій.
У сенсі просторової організації управлінська та офісна діяльність мають ідентичні характеристики, оскільки в цьому відношенні вони об'єктивно нероздільні.
Так само, як і просторові характеристики, часові параметри офісної діяльності суттєво визначаються організацією керованого процесу в часі, при цьому в подальшому розгляді будемо спиратися на вже наведену класифікацію. керованих процесів.
Елементарні керовані процеси з точки зору їх організації у часі істотно поділяються на дві категорії: з безперервним і дискретним функціонуванням.
Безперервні керовані процеси за своїм змістом вимагають і безперервного управління, тобто управлінська діяльність, пов'язана з ними, повинна здійснюватися постійно, без перерв. До такого роду процесів відносяться виробництва в хімічній, металургійній, енергетичній і тому подібних галузях промисловості. У цьому випадку визначити часові характеристики управлінської діяльності можна наступним чином: управлінська діяльність здійснюється з відносно незмінною інтенсивністю протягом усього періоду функціонування керованого процесу без перерв.
Дискретні керовані процеси функціонують протягом чітко виділених тимчасових інтервалів з певними моментами початку та закінчення, що дозволяє здійснювати управління ними не безперервно, а в рамках згаданих інтервалів. При цьому в різних інтервалах інтенсивність управлінської діяльності може бути різною, як, наприклад, при роботі виробничої дільниці машинобудівного цеху в денну і нічну зміни. Тому тут тимчасові характеристики управлінської діяльності можна визначити наступним чином: управлінська діяльність здійснюється в рамках явно виражених інтервалів часу з чітко певними моментами початку та закінчення, причому в різних інтервалах її інтенсивність різна (включаючи і нульову), а вся послідовність цих інтервалів укладається в загальну тривалість функціонування керованого процесу.
Що стосується більш складних видів керованих процесів, то вони являють собою різні комбінації елементарних процесів, породжуючи ті чи інші вже розглянуті конструкції керуючих систем, що в залежності від типу підпроцесів (безперервних або дискретних) створює і відповідні набори тимчасових характеристик управлінської діяльності. Слід зазначити, що з об'єктивних причин переважають характеристики, пов'язані з дискретними процесами.
Тимчасові характеристики офісної діяльності, так само як і її просторові параметри, нерозривно пов'язані з характеристиками управлінської діяльності, але повної ідентичності тут вже не спостерігається, особливо для дискретних процесів. У рамках окремих інтервалів функціонування управлінська та офісна діяльності можуть мати різні інтенсивності, що породжує різне їх тимчасову структуру при ідентичній просторової організації. Наприклад, у нічний час переважна більшість служб управління міського господарства не функціонує (а отже, має практично нульову інтенсивність в сенсі офісної діяльності), але їх чергові підрозділи здійснюють оперативну роботу, визначаючи ненульову інтенсивність власне управлінської діяльності, залишаючи багато (неоперативні) рішення і їх оформлення на денний час з ненульовою інтенсивністю офісної діяльності.
Кадрові характеристики офісної діяльності визначаються властивостями персоналу, її здійснює. Тут можна виділити наступні параметри:
- Кількість фахівців;
- Склад фахівців;
- Рівень спеціалізації;
- Рівень кваліфікації;
- Стаж роботи;
- Загальні параметри, що характеризують роботу з кадрами.
Кількість фахівців, що здійснюють офісну діяльність, повністю визначається обсягом і масштабами управлінської діяльності, яка, у свою чергу, залежить від складності керованого процесу. У міру переходу від елементарних керованих процесів до глобальних з підвищенням рівня складності управляючих систем число таких фахівців збільшується, з необхідністю ставлячи завдання спеціалізації, кооперації та визначення необхідної кваліфікації при здійсненні офісної діяльності.
Склад фахівців, що виконують завдання в рамках офісної діяльності, визначається за необхідне її обсягом у конкретних просторових і часових конфігураціях управлінської діяльності відповідними нормативними документами (кваліфікаційними довідниками) і може включати в себе як власне управлінський персонал (осіб, які приймають і готують рішення), так і персонал , що забезпечує інформаційну та організаційну підтримку процесу вироблення і прийняття рішення.
Визначення складу фахівців тісно пов'язано з рівнем їх спеціалізації на офісної діяльності. Так, власне управлінський персонал може повністю здійснювати управлінську та офісну діяльність (як це має місце для елементарних керованих процесів, де вказаний персонал втілюється в одній людині, - майстер, бригадир і т. п.), може бути повністю звільнений від офісної діяльності (менеджери вищого рівня і державні керівники), може поряд з основною (управлінської) діяльністю виконувати деякі завдання офісної діяльності. У двох останніх варіантах необхідні фахівці, для яких здійснення офісної діяльності є основною роботою. Це секретарі, помічники, референти, офіс-менеджери, фахівці з інформаційного забезпечення і т. п.
Кваліфікація офісного персоналу визначається, перш за все, наявністю відповідної професійної підготовки. Ця підготовка може мати різні форми:
- Отримання середньої спеціальної освіти (секретарі-референти; техніки, що здійснюють експлуатацію різних інформаційних систем, і т. п.);
- Отримання вищої освіти (референти; керівники служб документаційного та інформаційного забезпечення; інженери, які здійснюють експлуатацію різних інформаційних систем, і т. п.);
- Підготовка і перепідготовка на різних короткострокових курсах (секретарі; персонал служб документаційного та інформаційного забезпечення і т. п.).
Крім того, фактична кваліфікація крім рівня професійної підготовки істотним чином залежить від стажу офісної роботи, що визначає знання конкретних обставин та практичні навички забезпечення конкретної управлінської діяльності.
1.3. Проблеми організації офісної діяльності
Розгляд структури і функцій офісної діяльності, вироблене вище, вказує на наявність суттєво різнорідних і досить численних, але взаємопов'язаних компонентів і процесів. Ефективна реалізація офісної діяльності передбачає забезпечення функціонування цих компонентів і процесів як таких, так і в сукупності, в цілому. Таке завдання, загалом, є досить поширеною (принаймні в рамках системного підходу) і змістовно пов'язана з поняттям «організація».
Зазначимо, зокрема, що поняття «організація» носить такий же багатозначний характер, як і поняття «система» і «управління», розглянуті вище.
Визначення цього поняття в універсальних словниках по-різному за обсягом і якісним характеристикам. Найбільш повним є зміст визначення, даного в Радянському енциклопедичному словнику (1986):
«ОРГАНІЗАЦІЯ (французьке organisation, від позднелатінского organizo - повідомляю стрункий вигляд, влаштовую) - 1) внутрішня упорядкованість, узгодженість, взаємодія більш або менш диференційованих і автономних частин цілого, обумовлені його будовою; 2) сукупність процесів або дій, що ведуть до утворення і вдосконалення взаємозв'язків між частинами цілого; 3) об'єднання людей, спільно реалізують програму або мету і діють на основі певних правил і процедур.
Застосовується до біологічних, соціальних і деяким технічним об'єктам, фіксуючи динамічні закономірності, тобто відносяться до функціонування, поведінки і взаємодії частин; зазвичай співвідноситься з поняттями структури, системи, управління ».
Виникає питання, яке з наведених значень є первинним, визначальним. На наш погляд, таким є друге (організація як діяльність), в той час як перше визначає організацію як результат певного роду діяльності (а саме в сенсі другого значення). Що стосується третього значення, то воно лише підкреслює первинність другого в тому сенсі, що визначає форму існування й функціонування групи людей по реалізації організації в сенсі діяльності.
Організація як діяльність передбачає:
- Визначення мети, завдання (або завдань);
- Розробку системи заходів для реалізації мети і поділу завдання на окремі види робіт;
- Інтеграцію окремих робіт у відповідних підрозділах, які могли б їх координувати різними засобами, включаючи сюди і формальну ієрархічну структуру;
- Мотивацію, взаємодія, поведінка, погляди персоналу, які почасти визначаються заходами, спрямованими на реалізацію поставлених цілей, а почасти ж носять особистий, випадковий характер;
- Прийняття рішень, комунікації, інформаційні-потоки, контроль, заохочення і покарання, які мають вирішальне значення для забезпечення виконання поставлених цілей;
- Єдину організаційну систему, яка розуміється не як особливий, додатковий ознака, а як внутрішня узгодженість, яка повинна бути досягнута між усіма перерахованими елементами.
Представлене розкриття змісту організації як діяльності дуже широко і неявно містить компоненти організації як результату діяльності. Тому необхідна певна конкретизація з точки зору організації офісної діяльності.
Визначення цілі, завдання (або завдань) офісної діяльності визначається її змістом як процесу, що забезпечує ефективну реалізацію управлінської діяльності в рамках конкретної системи управління. Як це було показано вище, в основному це інформаційне забезпечення управлінської діяльності та забезпечення реалізації прийнятих рішень.
Розробка системи заходів для реалізації мети та поділу завдань на окремі види робіт стосовно тільки що певним цілям та завданням офісної діяльності передбачає визначення всього складу конкретних функцій інформаційного обслуговування управлінської діяльності в рамках її конкретних просторових і часових характеристик, виділення відповідних завдань, робіт, процедур і операцій з урахуванням послідовності їх виконання і взаємозв'язків.
Інтеграція окремих робіт у відповідних підрозділах здійснюється з урахуванням передусім просторових характеристик управлінської діяльності і передбачає розподіл виявленої сукупності завдань, робіт, процедур і операцій за відповідними просторовим компонентів (структурним підрозділам) з подальшою їх концентрацією та інтеграцією з метою ефективної реалізації.
Мотивація, взаємодія, поведінка, погляди персоналу визначаються відповідно до кадровими характеристиками необхідної офісної діяльності і багато в чому залежать від необхідної кваліфікаційної підтримки виявленого складу завдань, робіт, процедур і операцій інформаційного обслуговування управлінської діяльності.
Прийняття рішень, комунікації, інформаційні потоки, контроль, заохочення і покарання - ця складова, на перший погляд, належить до власне процесу прийняття управлінських рішень для впливу на керований процес, але оскільки ми прийняли положення про те, що офісні діяльність є багато в чому процес управління управлінською діяльністю, то перелічені елементи організації повинні мати місце і розроблятися відповідним чином.
Єдина організаційна система офісної діяльності передбачає зведення воєдино всіх перерахованих компонентів її організації в рамках функціонування офісу у всіх його проявах.
У сенсі просторової організації управлінська та офісна діяльність мають ідентичні характеристики, оскільки в цьому відношенні вони об'єктивно нероздільні.
Так само, як і просторові характеристики, часові параметри офісної діяльності суттєво визначаються організацією керованого процесу в часі, при цьому в подальшому розгляді будемо спиратися на вже наведену класифікацію. керованих процесів.
Елементарні керовані процеси з точки зору їх організації у часі істотно поділяються на дві категорії: з безперервним і дискретним функціонуванням.
Безперервні керовані процеси за своїм змістом вимагають і безперервного управління, тобто управлінська діяльність, пов'язана з ними, повинна здійснюватися постійно, без перерв. До такого роду процесів відносяться виробництва в хімічній, металургійній, енергетичній і тому подібних галузях промисловості. У цьому випадку визначити часові характеристики управлінської діяльності можна наступним чином: управлінська діяльність здійснюється з відносно незмінною інтенсивністю протягом усього періоду функціонування керованого процесу без перерв.
Дискретні керовані процеси функціонують протягом чітко виділених тимчасових інтервалів з певними моментами початку та закінчення, що дозволяє здійснювати управління ними не безперервно, а в рамках згаданих інтервалів. При цьому в різних інтервалах інтенсивність управлінської діяльності може бути різною, як, наприклад, при роботі виробничої дільниці машинобудівного цеху в денну і нічну зміни. Тому тут тимчасові характеристики управлінської діяльності можна визначити наступним чином: управлінська діяльність здійснюється в рамках явно виражених інтервалів часу з чітко певними моментами початку та закінчення, причому в різних інтервалах її інтенсивність різна (включаючи і нульову), а вся послідовність цих інтервалів укладається в загальну тривалість функціонування керованого процесу.
Що стосується більш складних видів керованих процесів, то вони являють собою різні комбінації елементарних процесів, породжуючи ті чи інші вже розглянуті конструкції керуючих систем, що в залежності від типу підпроцесів (безперервних або дискретних) створює і відповідні набори тимчасових характеристик управлінської діяльності. Слід зазначити, що з об'єктивних причин переважають характеристики, пов'язані з дискретними процесами.
Тимчасові характеристики офісної діяльності, так само як і її просторові параметри, нерозривно пов'язані з характеристиками управлінської діяльності, але повної ідентичності тут вже не спостерігається, особливо для дискретних процесів. У рамках окремих інтервалів функціонування управлінська та офісна діяльності можуть мати різні інтенсивності, що породжує різне їх тимчасову структуру при ідентичній просторової організації. Наприклад, у нічний час переважна більшість служб управління міського господарства не функціонує (а отже, має практично нульову інтенсивність в сенсі офісної діяльності), але їх чергові підрозділи здійснюють оперативну роботу, визначаючи ненульову інтенсивність власне управлінської діяльності, залишаючи багато (неоперативні) рішення і їх оформлення на денний час з ненульовою інтенсивністю офісної діяльності.
Кадрові характеристики офісної діяльності визначаються властивостями персоналу, її здійснює. Тут можна виділити наступні параметри:
- Кількість фахівців;
- Склад фахівців;
- Рівень спеціалізації;
- Рівень кваліфікації;
- Стаж роботи;
- Загальні параметри, що характеризують роботу з кадрами.
Кількість фахівців, що здійснюють офісну діяльність, повністю визначається обсягом і масштабами управлінської діяльності, яка, у свою чергу, залежить від складності керованого процесу. У міру переходу від елементарних керованих процесів до глобальних з підвищенням рівня складності управляючих систем число таких фахівців збільшується, з необхідністю ставлячи завдання спеціалізації, кооперації та визначення необхідної кваліфікації при здійсненні офісної діяльності.
Склад фахівців, що виконують завдання в рамках офісної діяльності, визначається за необхідне її обсягом у конкретних просторових і часових конфігураціях управлінської діяльності відповідними нормативними документами (кваліфікаційними довідниками) і може включати в себе як власне управлінський персонал (осіб, які приймають і готують рішення), так і персонал , що забезпечує інформаційну та організаційну підтримку процесу вироблення і прийняття рішення.
Визначення складу фахівців тісно пов'язано з рівнем їх спеціалізації на офісної діяльності. Так, власне управлінський персонал може повністю здійснювати управлінську та офісну діяльність (як це має місце для елементарних керованих процесів, де вказаний персонал втілюється в одній людині, - майстер, бригадир і т. п.), може бути повністю звільнений від офісної діяльності (менеджери вищого рівня і державні керівники), може поряд з основною (управлінської) діяльністю виконувати деякі завдання офісної діяльності. У двох останніх варіантах необхідні фахівці, для яких здійснення офісної діяльності є основною роботою. Це секретарі, помічники, референти, офіс-менеджери, фахівці з інформаційного забезпечення і т. п.
Кваліфікація офісного персоналу визначається, перш за все, наявністю відповідної професійної підготовки. Ця підготовка може мати різні форми:
- Отримання середньої спеціальної освіти (секретарі-референти; техніки, що здійснюють експлуатацію різних інформаційних систем, і т. п.);
- Отримання вищої освіти (референти; керівники служб документаційного та інформаційного забезпечення; інженери, які здійснюють експлуатацію різних інформаційних систем, і т. п.);
- Підготовка і перепідготовка на різних короткострокових курсах (секретарі; персонал служб документаційного та інформаційного забезпечення і т. п.).
Крім того, фактична кваліфікація крім рівня професійної підготовки істотним чином залежить від стажу офісної роботи, що визначає знання конкретних обставин та практичні навички забезпечення конкретної управлінської діяльності.
1.3. Проблеми організації офісної діяльності
Розгляд структури і функцій офісної діяльності, вироблене вище, вказує на наявність суттєво різнорідних і досить численних, але взаємопов'язаних компонентів і процесів. Ефективна реалізація офісної діяльності передбачає забезпечення функціонування цих компонентів і процесів як таких, так і в сукупності, в цілому. Таке завдання, загалом, є досить поширеною (принаймні в рамках системного підходу) і змістовно пов'язана з поняттям «організація».
Зазначимо, зокрема, що поняття «організація» носить такий же багатозначний характер, як і поняття «система» і «управління», розглянуті вище.
Визначення цього поняття в універсальних словниках по-різному за обсягом і якісним характеристикам. Найбільш повним є зміст визначення, даного в Радянському енциклопедичному словнику (1986):
«ОРГАНІЗАЦІЯ (французьке organisation, від позднелатінского organizo - повідомляю стрункий вигляд, влаштовую) - 1) внутрішня упорядкованість, узгодженість, взаємодія більш або менш диференційованих і автономних частин цілого, обумовлені його будовою; 2) сукупність процесів або дій, що ведуть до утворення і вдосконалення взаємозв'язків між частинами цілого; 3) об'єднання людей, спільно реалізують програму або мету і діють на основі певних правил і процедур.
Застосовується до біологічних, соціальних і деяким технічним об'єктам, фіксуючи динамічні закономірності, тобто відносяться до функціонування, поведінки і взаємодії частин; зазвичай співвідноситься з поняттями структури, системи, управління ».
Виникає питання, яке з наведених значень є первинним, визначальним. На наш погляд, таким є друге (організація як діяльність), в той час як перше визначає організацію як результат певного роду діяльності (а саме в сенсі другого значення). Що стосується третього значення, то воно лише підкреслює первинність другого в тому сенсі, що визначає форму існування й функціонування групи людей по реалізації організації в сенсі діяльності.
Організація як діяльність передбачає:
- Визначення мети, завдання (або завдань);
- Розробку системи заходів для реалізації мети і поділу завдання на окремі види робіт;
- Інтеграцію окремих робіт у відповідних підрозділах, які могли б їх координувати різними засобами, включаючи сюди і формальну ієрархічну структуру;
- Мотивацію, взаємодія, поведінка, погляди персоналу, які почасти визначаються заходами, спрямованими на реалізацію поставлених цілей, а почасти ж носять особистий, випадковий характер;
- Прийняття рішень, комунікації, інформаційні-потоки, контроль, заохочення і покарання, які мають вирішальне значення для забезпечення виконання поставлених цілей;
- Єдину організаційну систему, яка розуміється не як особливий, додатковий ознака, а як внутрішня узгодженість, яка повинна бути досягнута між усіма перерахованими елементами.
Представлене розкриття змісту організації як діяльності дуже широко і неявно містить компоненти організації як результату діяльності. Тому необхідна певна конкретизація з точки зору організації офісної діяльності.
Визначення цілі, завдання (або завдань) офісної діяльності визначається її змістом як процесу, що забезпечує ефективну реалізацію управлінської діяльності в рамках конкретної системи управління. Як це було показано вище, в основному це інформаційне забезпечення управлінської діяльності та забезпечення реалізації прийнятих рішень.
Розробка системи заходів для реалізації мети та поділу завдань на окремі види робіт стосовно тільки що певним цілям та завданням офісної діяльності передбачає визначення всього складу конкретних функцій інформаційного обслуговування управлінської діяльності в рамках її конкретних просторових і часових характеристик, виділення відповідних завдань, робіт, процедур і операцій з урахуванням послідовності їх виконання і взаємозв'язків.
Інтеграція окремих робіт у відповідних підрозділах здійснюється з урахуванням передусім просторових характеристик управлінської діяльності і передбачає розподіл виявленої сукупності завдань, робіт, процедур і операцій за відповідними просторовим компонентів (структурним підрозділам) з подальшою їх концентрацією та інтеграцією з метою ефективної реалізації.
Мотивація, взаємодія, поведінка, погляди персоналу визначаються відповідно до кадровими характеристиками необхідної офісної діяльності і багато в чому залежать від необхідної кваліфікаційної підтримки виявленого складу завдань, робіт, процедур і операцій інформаційного обслуговування управлінської діяльності.
Прийняття рішень, комунікації, інформаційні потоки, контроль, заохочення і покарання - ця складова, на перший погляд, належить до власне процесу прийняття управлінських рішень для впливу на керований процес, але оскільки ми прийняли положення про те, що офісні діяльність є багато в чому процес управління управлінською діяльністю, то перелічені елементи організації повинні мати місце і розроблятися відповідним чином.
Єдина організаційна система офісної діяльності передбачає зведення воєдино всіх перерахованих компонентів її організації в рамках функціонування офісу у всіх його проявах.
1.4. Поняття і функції офісних технологій
Як ми вже визначили вище, офісна діяльність - це певним чином організована у просторі та часі сукупність дій безлічі людей (персоналу), реалізація яких забезпечує умови ефективного виконання управлінської діяльності для конкретної системи управління. Оскільки багато в чому її організація пов'язана з визначенням і реалізацією завдань, робіт, процедур і операцій інформаційного обслуговування управлінської діяльності, остільки основна частина її функцій реалізується через відповідні інформаційні технології, структура, властивості і можливості яких визначаються особливостями функціонування офісу - матеріально-технічної та організаційної форми здійснення офісної діяльності.
Таким чином, під офісної технологією розуміється інформаційна технологія, об'єкт і результат якої визначаються потребами реалізації управлінської діяльності в рамках конкретної форми здійснення офісної діяльності (офісу).
Об'єктом офісної технології є той чи інший вид інформаційних ресурсів, що використовуються при реалізації завдань, робіт, процедур і операцій інформаційного обслуговування управлінської діяльності.
Результати перетворення інформаційних ресурсів в рамках офісних технологій повинні розглядатися як відповідні компоненти інформаційних технологій взагалі з урахуванням специфіки офісної діяльності як забезпечення ефективності функціонування керуючої системи, зводиться в кінцевому підсумку, як це було показано, до процесу підготовки і прийняття управлінських рішень.
Зазначений процес має складну послідовно-ітеративну структуру (рис. 3) і реалізується в рамках замкнутого інформаційного контуру (мал. 2) через сукупність різних процедур і операцій роботи з даними. Зміст цих процедур і операцій визначається інформаційними потребами, що виникають в процесі підготовки та прийняття рішень, які виражаються в результатах необхідних перетворень тих чи інших даних.
Окрема ітерація управлінського циклу починається з оцінки стану керованого процесу, що здійснюється тими компонентами керуючої системи, які в узагальненому вигляді представлені як вимірювальний елемент (рис. 2).
Результат оцінки стану керованого процесу - • це сукупність даних про значення тих його параметрів, які є істотними для вироблення рішень про керуючих впливах, що забезпечують досягнення цілей системи управління в цілому. Отримання такого результату досягається структуризацією всієї сукупності даних, що надходять від керованого процесу, з ідентифікацією складових її інформаційних об'єктів і виділенням з отриманого таким чином безлічі тих його компонентів, які містять інформацію про шуканих параметрах. Дані процеси (ідентифікація інформаційних об'єктів і виділення тих з них, які необхідні керуючій системі) в цілому реалізуються технологіями збору даних.
Як ми вже визначили вище, офісна діяльність - це певним чином організована у просторі та часі сукупність дій безлічі людей (персоналу), реалізація яких забезпечує умови ефективного виконання управлінської діяльності для конкретної системи управління. Оскільки багато в чому її організація пов'язана з визначенням і реалізацією завдань, робіт, процедур і операцій інформаційного обслуговування управлінської діяльності, остільки основна частина її функцій реалізується через відповідні інформаційні технології, структура, властивості і можливості яких визначаються особливостями функціонування офісу - матеріально-технічної та організаційної форми здійснення офісної діяльності.
Таким чином, під офісної технологією розуміється інформаційна технологія, об'єкт і результат якої визначаються потребами реалізації управлінської діяльності в рамках конкретної форми здійснення офісної діяльності (офісу).
Об'єктом офісної технології є той чи інший вид інформаційних ресурсів, що використовуються при реалізації завдань, робіт, процедур і операцій інформаційного обслуговування управлінської діяльності.
Результати перетворення інформаційних ресурсів в рамках офісних технологій повинні розглядатися як відповідні компоненти інформаційних технологій взагалі з урахуванням специфіки офісної діяльності як забезпечення ефективності функціонування керуючої системи, зводиться в кінцевому підсумку, як це було показано, до процесу підготовки і прийняття управлінських рішень.
Зазначений процес має складну послідовно-ітеративну структуру (рис. 3) і реалізується в рамках замкнутого інформаційного контуру (мал. 2) через сукупність різних процедур і операцій роботи з даними. Зміст цих процедур і операцій визначається інформаційними потребами, що виникають в процесі підготовки та прийняття рішень, які виражаються в результатах необхідних перетворень тих чи інших даних.
Окрема ітерація управлінського циклу починається з оцінки стану керованого процесу, що здійснюється тими компонентами керуючої системи, які в узагальненому вигляді представлені як вимірювальний елемент (рис. 2).
Результат оцінки стану керованого процесу - • це сукупність даних про значення тих його параметрів, які є істотними для вироблення рішень про керуючих впливах, що забезпечують досягнення цілей системи управління в цілому. Отримання такого результату досягається структуризацією всієї сукупності даних, що надходять від керованого процесу, з ідентифікацією складових її інформаційних об'єктів і виділенням з отриманого таким чином безлічі тих його компонентів, які містять інформацію про шуканих параметрах. Дані процеси (ідентифікація інформаційних об'єктів і виділення тих з них, які необхідні керуючій системі) в цілому реалізуються технологіями збору даних.
Для дискретних керованих процесів моменти використання зібраних даних можуть розділятися істотно тривалими інтервалами, протягом яких виникає необхідність збереження відібраних інформаційних об'єктів при продовженні збору даних. Результатом реалізації цього процесу в кінці кожного зазначеного інтервалу часу будуть акумульовані дані про значення істотних параметрів керованого процесу. Досягнення цього результату в цілому забезпечується технологіями накопичення даних.
Підсумковим результатом діяльності вимірювального елемента керуючої системи повинні бути зібрані (і накопичені) дані про керований процесі, зафіксовані на будь-якому носії. Досягнення цього результату в цілому забезпечується технологіями реєстрації даних.
Розглянуті функції офісних технологій щодо цілеспрямованого зміни властивостей усієї сукупності даних, що надходять від керованого процесу, реалізуються, як правило, в місці його протікання (у вимірювальному елементі), а підготовка і прийняття управлінських рішень здійснюються вирішальним елементом, дії якого локалізовані в рамках офісу. У переважній більшості випадків вимірювальний і вирішальний елементи просторово розділені (виняток - елементарні керовані процеси), що призводить до необхідності зміни просторових координат зібраних, накопичених і зареєстрованих даних. Досягнення цього результату забезпечується технологіями передачі даних.
Надіслані у вирішальний елемент відомості залежно від просторової складності та тимчасового характеру керованого процесу призначені для різних етапів і процедур підготовки і прийняття рішень, що вимагають для своєї реалізації певного часу, у зв'язку з чим моменти надходження інформації і моменти її реального використання не збігаються, що викликає необхідність зміни часових координат даних. Досягнення такого результату забезпечується технологіями зберігання даних.
Збережені дані можуть бути затребувані для використання різними структурними компонентами керуючої системи, що діють у складі вирішального елементу, причому часто одночасно, що призводить до необхідності дублювання інформації, створення відповідних дублікатів. У даному випадку результат досягається за рахунок технологій копіювання даних.
При зборі, накопиченні, реєстрації та зберігання даних виникає необхідність приведення отримуються і формованих множин інформаційних об'єктів до структури, в рамках якої вони (об'єкти) певним чином співвідносяться один з одним, що дозволяє раціонально організувати виконання тих чи інших операцій над ними. Таке перетворення забезпечується технологіями впорядкування даних.
У конкретних ситуаціях підготовка та прийняття рішень на окремих етапах вимагають не всієї сукупності наявної інформації, а лише цілком певної її частини, що відповідає деяким вимогам, критеріям, який формується у вигляді запиту. Вибірка таких відомостей зі збережених інформаційних масивів реалізується технологіями пошуку даних.
Процес підготовки і прийняття рішень не є однозначно визначеним і в різних проблемних ситуаціях вимагає для одержання підсумкового результату різних інструментальних засобів (типових процедур, економіко-математичних моделей, експертних систем, систем підтримки рішень і т. п.), використання яких реалізується через відповідні перетворення необхідної (зберігається та знайденої) інформації. Шуканий результат у вигляді вироблених управлінських рішень (належним чином змістовно визначеною і формально структурованої інформації) досягається технологіями змістовної обробки даних. З точки зору місця реалізації цих технологій і безпосередньої їх спряженості з вже розглянутими видами технологій можна було б віднести їх до офісних. Але принциповим тут є та обставина, що вони реалізують процеси підготовки та прийняття рішень, тобто власне діяльність з управління певним процесом або об'єктом, у той час як офісні технології цю діяльність забезпечують. Саме тому введені в розгляд у відповідності з логікою реалізації управлінського циклу технології змістовної обробки даних до офісних не відносяться.
Інформація про вироблених управлінських рішеннях для їх реалізації виконавчим елементом повинна бути відповідним чином оформлена, що забезпечується технологіями представлення даних.
Управлінські рішення, оформлені та подані потрібним чином для вироблення відповідних впливів на керований процес, повинні бути виведені на нього виконавчим елементом, що реалізується технологіями видачі даних.
Практично на всіх стадіях реалізації замкненого інформаційного контуру управління виникає необхідність підтримки цілісності та достовірності інформації, а в багатьох випадках - і забезпечення умов обмеженого доступу до даних. Досягнення цих результатів забезпечується технологіями захисту даних.
Розглянуті перетворення даних (збір, накопичення, реєстрація, передача, зберігання, копіювання, упорядкування, пошук, уявлення, видача, захист) практично повністю вичерпують перелік функцій офісних технологій.
Представлений порядок перерахування цих функцій є схематичним, хоча в основному і відповідає послідовному проходженню даних по замкнутому інформаційному контуру системи управління. У дійсності ті чи інші функції і відповідні офісні технології реалізуються і поза зазначеного порядку.
Так, збір даних здійснюється не тільки у зв'язку з оцінкою параметрів керованого процесу, але і при вивченні загальної ситуації для прийняття рішень стратегічного і довгострокового характеру, коли джерела інформації знаходяться поза системою управління.
Накопичення даних може здійснюватися і всередині вирішального елементу при необхідності підготовки управлінських рішень, пов'язаних з плановою і аналітичною діяльністю.
Реєстрація даних реалізується тоді, коли на різних стадіях підготовки і прийняття рішень відбувається зміна форми сприйняття інформації або зміна виду носія даних.
Передача і зберігання даних здійснюються щоразу, коли в процесі руху інформації змінюються її просторові і тимчасові координати.
Така ж ситуація і з іншими функціями офісних технологій.
1.5. Технології захисту даних
Реалізація функції захисту даних переслідує дві мети:
- Забезпечення цілісності даних, тобто збереження інформації як такої;
- Охорона даних від несанкціонованого доступу.
Забезпечення цілісності даних передбачає насамперед збереження незмінними (або в допустимому діапазоні) тих властивостей носія інформації, які забезпечують її фіксування та зберігання в одному і тому ж вигляді протягом необхідного інтервалу часу.
Це відноситься до таких матеріально-речовим носіям, як папір, магнітні плівки та диски, різні проекційні матеріали (фотоплівки, слайди, мікрофіші і т. п.), оптичні диски. Їх збереження забезпечується дотриманням належних умов зберігання та використання, що випливають з фізико-хімічних властивостей носіїв.
Інакше йде справа в тих випадках, коли носієм є передавальна середу систем комунікацій. Тут цілісність переданих даних багато в чому залежить від надійності використовуваних засобів зв'язку та задіяних при передачі інформації технологій. У переважній більшості випадків ці технології або реалізуються підприємствами зв'язку, що знаходяться поза офісом, або виконуються автоматично відповідної комунікаційної апаратурою.
Охорона даних від несанкціонованого доступу передбачає захист як носіїв, так і самих даних.
Захист матеріально-речових носіїв забезпечується певною системою роботи з ними, коли всі офісні технології, пов'язані з ними, здійснюються таким чином, щоб обмежити або зовсім заборонити доступ до них. Реалізація такого режиму пов'язана в основному з заходами організаційного характеру і виступає у формі спеціальної регламентації вже розглянутих офісних технологій практично для всіх їх функцій.
Що стосується охорони від несанкціонованого доступу передавальної середовища систем комунікацій, то тут в основному використовуються методи і технології захисту каналів зв'язку, реалізовані спеціальними технічними засобами і службами.
Захист від несанкціонованого доступу власне даних досить різноманітна і може передбачати:
- Криптографічні засоби як при зберіганні і використанні даних (програми шифрування і дешифрування), так і при їх передачі (наприклад, скремблювання);
- Умовний доступ, коли для використання даних необхідне виконання певних вимог (завдання імені та пароля, дотримання часових обмежень, виконання певних організаційних процедур і т. п.).
Підсумковим результатом діяльності вимірювального елемента керуючої системи повинні бути зібрані (і накопичені) дані про керований процесі, зафіксовані на будь-якому носії. Досягнення цього результату в цілому забезпечується технологіями реєстрації даних.
Розглянуті функції офісних технологій щодо цілеспрямованого зміни властивостей усієї сукупності даних, що надходять від керованого процесу, реалізуються, як правило, в місці його протікання (у вимірювальному елементі), а підготовка і прийняття управлінських рішень здійснюються вирішальним елементом, дії якого локалізовані в рамках офісу. У переважній більшості випадків вимірювальний і вирішальний елементи просторово розділені (виняток - елементарні керовані процеси), що призводить до необхідності зміни просторових координат зібраних, накопичених і зареєстрованих даних. Досягнення цього результату забезпечується технологіями передачі даних.
Надіслані у вирішальний елемент відомості залежно від просторової складності та тимчасового характеру керованого процесу призначені для різних етапів і процедур підготовки і прийняття рішень, що вимагають для своєї реалізації певного часу, у зв'язку з чим моменти надходження інформації і моменти її реального використання не збігаються, що викликає необхідність зміни часових координат даних. Досягнення такого результату забезпечується технологіями зберігання даних.
Збережені дані можуть бути затребувані для використання різними структурними компонентами керуючої системи, що діють у складі вирішального елементу, причому часто одночасно, що призводить до необхідності дублювання інформації, створення відповідних дублікатів. У даному випадку результат досягається за рахунок технологій копіювання даних.
При зборі, накопиченні, реєстрації та зберігання даних виникає необхідність приведення отримуються і формованих множин інформаційних об'єктів до структури, в рамках якої вони (об'єкти) певним чином співвідносяться один з одним, що дозволяє раціонально організувати виконання тих чи інших операцій над ними. Таке перетворення забезпечується технологіями впорядкування даних.
У конкретних ситуаціях підготовка та прийняття рішень на окремих етапах вимагають не всієї сукупності наявної інформації, а лише цілком певної її частини, що відповідає деяким вимогам, критеріям, який формується у вигляді запиту. Вибірка таких відомостей зі збережених інформаційних масивів реалізується технологіями пошуку даних.
Процес підготовки і прийняття рішень не є однозначно визначеним і в різних проблемних ситуаціях вимагає для одержання підсумкового результату різних інструментальних засобів (типових процедур, економіко-математичних моделей, експертних систем, систем підтримки рішень і т. п.), використання яких реалізується через відповідні перетворення необхідної (зберігається та знайденої) інформації. Шуканий результат у вигляді вироблених управлінських рішень (належним чином змістовно визначеною і формально структурованої інформації) досягається технологіями змістовної обробки даних. З точки зору місця реалізації цих технологій і безпосередньої їх спряженості з вже розглянутими видами технологій можна було б віднести їх до офісних. Але принциповим тут є та обставина, що вони реалізують процеси підготовки та прийняття рішень, тобто власне діяльність з управління певним процесом або об'єктом, у той час як офісні технології цю діяльність забезпечують. Саме тому введені в розгляд у відповідності з логікою реалізації управлінського циклу технології змістовної обробки даних до офісних не відносяться.
Інформація про вироблених управлінських рішеннях для їх реалізації виконавчим елементом повинна бути відповідним чином оформлена, що забезпечується технологіями представлення даних.
Управлінські рішення, оформлені та подані потрібним чином для вироблення відповідних впливів на керований процес, повинні бути виведені на нього виконавчим елементом, що реалізується технологіями видачі даних.
Практично на всіх стадіях реалізації замкненого інформаційного контуру управління виникає необхідність підтримки цілісності та достовірності інформації, а в багатьох випадках - і забезпечення умов обмеженого доступу до даних. Досягнення цих результатів забезпечується технологіями захисту даних.
Розглянуті перетворення даних (збір, накопичення, реєстрація, передача, зберігання, копіювання, упорядкування, пошук, уявлення, видача, захист) практично повністю вичерпують перелік функцій офісних технологій.
Представлений порядок перерахування цих функцій є схематичним, хоча в основному і відповідає послідовному проходженню даних по замкнутому інформаційному контуру системи управління. У дійсності ті чи інші функції і відповідні офісні технології реалізуються і поза зазначеного порядку.
Так, збір даних здійснюється не тільки у зв'язку з оцінкою параметрів керованого процесу, але і при вивченні загальної ситуації для прийняття рішень стратегічного і довгострокового характеру, коли джерела інформації знаходяться поза системою управління.
Накопичення даних може здійснюватися і всередині вирішального елементу при необхідності підготовки управлінських рішень, пов'язаних з плановою і аналітичною діяльністю.
Реєстрація даних реалізується тоді, коли на різних стадіях підготовки і прийняття рішень відбувається зміна форми сприйняття інформації або зміна виду носія даних.
Передача і зберігання даних здійснюються щоразу, коли в процесі руху інформації змінюються її просторові і тимчасові координати.
Така ж ситуація і з іншими функціями офісних технологій.
1.5. Технології захисту даних
Реалізація функції захисту даних переслідує дві мети:
- Забезпечення цілісності даних, тобто збереження інформації як такої;
- Охорона даних від несанкціонованого доступу.
Забезпечення цілісності даних передбачає насамперед збереження незмінними (або в допустимому діапазоні) тих властивостей носія інформації, які забезпечують її фіксування та зберігання в одному і тому ж вигляді протягом необхідного інтервалу часу.
Це відноситься до таких матеріально-речовим носіям, як папір, магнітні плівки та диски, різні проекційні матеріали (фотоплівки, слайди, мікрофіші і т. п.), оптичні диски. Їх збереження забезпечується дотриманням належних умов зберігання та використання, що випливають з фізико-хімічних властивостей носіїв.
Інакше йде справа в тих випадках, коли носієм є передавальна середу систем комунікацій. Тут цілісність переданих даних багато в чому залежить від надійності використовуваних засобів зв'язку та задіяних при передачі інформації технологій. У переважній більшості випадків ці технології або реалізуються підприємствами зв'язку, що знаходяться поза офісом, або виконуються автоматично відповідної комунікаційної апаратурою.
Охорона даних від несанкціонованого доступу передбачає захист як носіїв, так і самих даних.
Захист матеріально-речових носіїв забезпечується певною системою роботи з ними, коли всі офісні технології, пов'язані з ними, здійснюються таким чином, щоб обмежити або зовсім заборонити доступ до них. Реалізація такого режиму пов'язана в основному з заходами організаційного характеру і виступає у формі спеціальної регламентації вже розглянутих офісних технологій практично для всіх їх функцій.
Що стосується охорони від несанкціонованого доступу передавальної середовища систем комунікацій, то тут в основному використовуються методи і технології захисту каналів зв'язку, реалізовані спеціальними технічними засобами і службами.
Захист від несанкціонованого доступу власне даних досить різноманітна і може передбачати:
- Криптографічні засоби як при зберіганні і використанні даних (програми шифрування і дешифрування), так і при їх передачі (наприклад, скремблювання);
- Умовний доступ, коли для використання даних необхідне виконання певних вимог (завдання імені та пароля, дотримання часових обмежень, виконання певних організаційних процедур і т. п.).
Висновки по розділу
Офісні діяльність - це певним чином організована у просторі та часі сукупність дій безлічі людей (персоналу), реалізація яких забезпечує умови ефективного виконання управлінської діяльності для конкретної системи, управління.
Управлінське рішення приймається тоді, коли виявлена та чи інша управлінська проблема, проблемна ситуація, тобто такий стан, коли за наявності даного, існуючого стану керованого об'єкта (процесу) виникає необхідність іншого, оскільки збереження цього стану заважає нормальному його функціонуванню, вдосконалення та розвитку
Склад фахівців, що виконують завдання в рамках офісної діяльності, визначається за необхідне її обсягом у конкретних просторових і часових конфігураціях управлінської діяльності відповідними нормативними документами (кваліфікаційними довідниками) і може включати в себе як власне управлінський персонал (осіб, які приймають і готують рішення), так і персонал , що забезпечує інформаційну та організаційну підтримку процесу вироблення і прийняття рішення.
Кваліфікація офісного персоналу визначається, перш за все, наявністю відповідної професійної підготовки.
Визначення цілі, завдання (або завдань) офісної діяльності визначається її змістом як процесу, що забезпечує ефективну реалізацію управлінської діяльності в рамках конкретної системи управління.
Офісні технологія - інформаційна технологія, об'єкт і результат якої визначаються потребами реалізації управлінської діяльності в рамках конкретної форми здійснення офісної діяльності (офісу).
Реалізація функції захисту даних переслідує дві мети:
- Забезпечення цілісності даних, тобто збереження інформації як такої;
- Охорона даних від несанкціонованого доступу.
Захист від несанкціонованого доступу власне даних досить різноманітна і може передбачати:
- Криптографічні засоби як при зберіганні і використанні даних (програми шифрування і дешифрування), так і при їх передачі (наприклад, скремблювання);
- Умовний доступ, коли для використання даних необхідне виконання певних вимог (завдання імені та пароля, дотримання часових обмежень, виконання певних організаційних процедур і т. п.).
Офісні діяльність - це певним чином організована у просторі та часі сукупність дій безлічі людей (персоналу), реалізація яких забезпечує умови ефективного виконання управлінської діяльності для конкретної системи, управління.
Управлінське рішення приймається тоді, коли виявлена та чи інша управлінська проблема, проблемна ситуація, тобто такий стан, коли за наявності даного, існуючого стану керованого об'єкта (процесу) виникає необхідність іншого, оскільки збереження цього стану заважає нормальному його функціонуванню, вдосконалення та розвитку
Склад фахівців, що виконують завдання в рамках офісної діяльності, визначається за необхідне її обсягом у конкретних просторових і часових конфігураціях управлінської діяльності відповідними нормативними документами (кваліфікаційними довідниками) і може включати в себе як власне управлінський персонал (осіб, які приймають і готують рішення), так і персонал , що забезпечує інформаційну та організаційну підтримку процесу вироблення і прийняття рішення.
Кваліфікація офісного персоналу визначається, перш за все, наявністю відповідної професійної підготовки.
Визначення цілі, завдання (або завдань) офісної діяльності визначається її змістом як процесу, що забезпечує ефективну реалізацію управлінської діяльності в рамках конкретної системи управління.
Офісні технологія - інформаційна технологія, об'єкт і результат якої визначаються потребами реалізації управлінської діяльності в рамках конкретної форми здійснення офісної діяльності (офісу).
Реалізація функції захисту даних переслідує дві мети:
- Забезпечення цілісності даних, тобто збереження інформації як такої;
- Охорона даних від несанкціонованого доступу.
Захист від несанкціонованого доступу власне даних досить різноманітна і може передбачати:
- Криптографічні засоби як при зберіганні і використанні даних (програми шифрування і дешифрування), так і при їх передачі (наприклад, скремблювання);
- Умовний доступ, коли для використання даних необхідне виконання певних вимог (завдання імені та пароля, дотримання часових обмежень, виконання певних організаційних процедур і т. п.).
2 ОСНОВНІ НАПРЯМКИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ІНФОРМАЦІЙНИХ РЕСУРСІВ
2.1. Інформаційна безпека підприємницької діяльності
У сучасній російській ринковій економіці обов'язковою умовою успіху підприємця у бізнесі, отримання прибутку та збереження в цілісності створеної ним організаційної структури є забезпечення економічної безпеки його діяльності.
Безпека в широкому сенсі визначається як стан захищеності чого-небудь від різних небезпек, стан, при якому є реальна гарантія збереження цього стану протягом певного часу. По суті це сформована концепція побудови будь-якої системи захисту.
Економічна безпека підприємницької діяльності передбачає захищеність інтелектуальної власності та інтересів підприємства чи підприємця незалежно від масштабу їх присутності в конкретній сфері бізнесу. Економічна безпека характеризується складною ієрархічною структурою, що включає в якості основних частин правову безпеку, маркетингову безпеку, інформаційну безпеку і фізичну безпеку підприємства. Всі частини є обов'язковими і формують модель захищеності виробничих та комерційних інтересів підприємця.
Правова безпека вимагає побудови програмної схеми вирішення питань, пов'язаних із забезпеченням законності діяльності підприємця, дотримання ним правових норм при організації функціонування підприємства, складанні та веденні документації, патентування технічних і технологічних нововведень, прийнятті рішень, побудові ділових зв'язків, захисту інформації та в інших випадках.
Маркетингова безпеку передбачає формування програми ведення аналітичних досліджень ринку, ділових інтересів сумлінних конкурентів, аналіз спрямованості інтересів недобросовісних конкурентів і кримінального середовища, організації розвідки в бізнесі, аналітичної роботи з виявлення економічних загроз підприємству, каналів втрати цінної інформації, розрахунку економічної доцільності системи захисту інформації, її вартості й інших головних напрямків діяльності підприємства.
Фізична безпека передбачає формування та вдосконалення системи охорони території, будівлі, приміщень, транспорту, продукції, персоналу підприємства, розширення використання технічних засобів охорони, сигналізації та інформування, регламентацію дій персоналу в екстремальних ситуаціях та інших відповідних заходів.
Однією із складових частин економічної безпеки є інформаційна безпека, спрямована на розробку та актуалізацію програми побудови аналітичної роботи з визначення складу цінної інформації підприємства, загроз інформації, щодо формування системи захисту інформації в традиційному та електронному документообігу, захисту інформації від персоналу, захисту інформації в технічних каналах розповсюдження інформації і т. д.
Проблеми інформаційної безпеки стають все більш складними і практично значущими у зв'язку з масовим переходом інформаційних технологій в управлінні на безпаперову автоматизовану основу.
Раніше головна небезпека полягала в крадіжці документів і розголошенні інформації співробітниками, що могло бути досить легко виявлено. У наші дні широко розвинене незаконне оперування електронними документами в комп'ютерних базах даних, копіювання електронної інформації без фактичної крадіжки носія інформації. Виявити таку крадіжку практично вкрай складно.
Інформаційна безпека має концептуальний (програмний) характер і припускає регламентацію вирішення комплексу завдань підтримання безпеки інформаційних ресурсів підприємства (фірми). Часто інформаційна безпека розуміється як сукупність завдань, вимог щодо збереження в таємниці інтелектуальних секретів фірми. Слід пам'ятати, що будь-який матеріальний об'єкт, будь-яке нововведення об'єктивно відбивається у нашій свідомості у вигляді сукупності інформаційних характеристик.
Під безпекою інформаційних ресурсів (інформації) розуміється захищеність інформації в часі і просторі від будь-яких об'єктивних і суб'єктивних загроз (небезпек), що виникають у звичайних умовах функціонування фірми та умовах екстремальних ситуацій: стихійних лих, інших некерованих подій, пасивних і активних спроб зловмисника створити потенційну або реальну загрозу несанкціонованого доступу до документів, справ, баз даних.
Безпека інформації на будь-яких носіях трактується як стан її захищеності від випадкових і навмисних несанкціонованих впливів природного та штучного властивості, спрямованих на знищення, руйнування, видозміна тих чи інших даних, зміна ступеня доступності цінних відомостей.
Необхідний рівень безпеки інформаційних ресурсів визначається в процесі різних аналітичних досліджень, які зумовлюють структуру і необхідну ефективність системи захисту цих ресурсів з урахуванням фінансових можливостей фірми. 2.1. Інформаційна безпека підприємницької діяльності
У сучасній російській ринковій економіці обов'язковою умовою успіху підприємця у бізнесі, отримання прибутку та збереження в цілісності створеної ним організаційної структури є забезпечення економічної безпеки його діяльності.
Безпека в широкому сенсі визначається як стан захищеності чого-небудь від різних небезпек, стан, при якому є реальна гарантія збереження цього стану протягом певного часу. По суті це сформована концепція побудови будь-якої системи захисту.
Економічна безпека підприємницької діяльності передбачає захищеність інтелектуальної власності та інтересів підприємства чи підприємця незалежно від масштабу їх присутності в конкретній сфері бізнесу. Економічна безпека характеризується складною ієрархічною структурою, що включає в якості основних частин правову безпеку, маркетингову безпеку, інформаційну безпеку і фізичну безпеку підприємства. Всі частини є обов'язковими і формують модель захищеності виробничих та комерційних інтересів підприємця.
Правова безпека вимагає побудови програмної схеми вирішення питань, пов'язаних із забезпеченням законності діяльності підприємця, дотримання ним правових норм при організації функціонування підприємства, складанні та веденні документації, патентування технічних і технологічних нововведень, прийнятті рішень, побудові ділових зв'язків, захисту інформації та в інших випадках.
Маркетингова безпеку передбачає формування програми ведення аналітичних досліджень ринку, ділових інтересів сумлінних конкурентів, аналіз спрямованості інтересів недобросовісних конкурентів і кримінального середовища, організації розвідки в бізнесі, аналітичної роботи з виявлення економічних загроз підприємству, каналів втрати цінної інформації, розрахунку економічної доцільності системи захисту інформації, її вартості й інших головних напрямків діяльності підприємства.
Фізична безпека передбачає формування та вдосконалення системи охорони території, будівлі, приміщень, транспорту, продукції, персоналу підприємства, розширення використання технічних засобів охорони, сигналізації та інформування, регламентацію дій персоналу в екстремальних ситуаціях та інших відповідних заходів.
Однією із складових частин економічної безпеки є інформаційна безпека, спрямована на розробку та актуалізацію програми побудови аналітичної роботи з визначення складу цінної інформації підприємства, загроз інформації, щодо формування системи захисту інформації в традиційному та електронному документообігу, захисту інформації від персоналу, захисту інформації в технічних каналах розповсюдження інформації і т. д.
Проблеми інформаційної безпеки стають все більш складними і практично значущими у зв'язку з масовим переходом інформаційних технологій в управлінні на безпаперову автоматизовану основу.
Раніше головна небезпека полягала в крадіжці документів і розголошенні інформації співробітниками, що могло бути досить легко виявлено. У наші дні широко розвинене незаконне оперування електронними документами в комп'ютерних базах даних, копіювання електронної інформації без фактичної крадіжки носія інформації. Виявити таку крадіжку практично вкрай складно.
Інформаційна безпека має концептуальний (програмний) характер і припускає регламентацію вирішення комплексу завдань підтримання безпеки інформаційних ресурсів підприємства (фірми). Часто інформаційна безпека розуміється як сукупність завдань, вимог щодо збереження в таємниці інтелектуальних секретів фірми. Слід пам'ятати, що будь-який матеріальний об'єкт, будь-яке нововведення об'єктивно відбивається у нашій свідомості у вигляді сукупності інформаційних характеристик.
Під безпекою інформаційних ресурсів (інформації) розуміється захищеність інформації в часі і просторі від будь-яких об'єктивних і суб'єктивних загроз (небезпек), що виникають у звичайних умовах функціонування фірми та умовах екстремальних ситуацій: стихійних лих, інших некерованих подій, пасивних і активних спроб зловмисника створити потенційну або реальну загрозу несанкціонованого доступу до документів, справ, баз даних.
Безпека інформації на будь-яких носіях трактується як стан її захищеності від випадкових і навмисних несанкціонованих впливів природного та штучного властивості, спрямованих на знищення, руйнування, видозміна тих чи інших даних, зміна ступеня доступності цінних відомостей.
Політика (концепція, програма) інформаційної безпеки фірми практично реалізується комплексом напрямків і методів захисту інформації, що забезпечує її безпеку. Захист інформації являє собою жорстко регламентований і динамічний технологічний процес, що попереджає порушення доступності, цілісності, достовірності та конфіденційності цінних інформаційних ресурсів і в кінцевому рахунку забезпечує достатньо надійну безпеку інформації в процесі управлінської та виробничої діяльності фірми. Якщо програма інформаційної безпеки відображає передбачувану ідеальну захищеність інформації, то захист інформації - це реальна динамічна модель вирішення завдань, поставлених в програмі.
Передбачається, що захист інформації здійснюється, насамперед, від несанкціонованого доступу до неї сторонньої особи, який в результаті цього доступу має можливість викрасти інформацію, знищити носій, фальсифікувати відомості, зробити підміну документів або вчинити інші зловмисні дії.
Отже, інформаційна безпека, безпека інформації та захист інформації пов'язані єдиною метою, розв'язуваними завданнями і послідовною реалізацією їх в умовах необхідності забезпечення економічної безпеки підприємства.
2.2. Інформаційні ресурси, продукти і послуги
Відповідно до Федерального закону «Про інформацію, інформатизації і захисту інформації» інформаційні ресурси підприємства, організації, установи, банку, компанії та інших державних і недержавних, в тому числі підприємницьких, структур (далі за текстом - фірми) включають в себе окремі документи і окремі масиви документів (справи), документи і комплекси документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних комп'ютерів та інших інформаційних системах) на будь-яких носіях, в тому числі забезпечують роботу обчислювальної та організаційної техніки.
Інформаційні ресурси формуються в процесі створення та розповсюдження вихідної і похідної інформації. Цей процес супроводжує будь-яку виробничу та управлінську діяльність у державній та недержавної сферах, а також життя громадянина. Для інформаційних ресурсів характерний ретроспективний аспект, що визначається технологічною завершеністю їх виникнення.
Інформаційні ресурси (інформація) є об'єктами відносин фізичних та юридичних осіб між собою і з державою, складають у сукупності інформаційні ресурси Росії та охороняються законом поряд з іншими видами ресурсів.
Інформація, яка використовується підприємцем у бізнесі та управлінні фірмою, є його власною або приватною інформацією. Така інформація становить інтелектуальну власність підприємця. До інтелектуальної власності (інтелектуальному продукту) як результату творчої праці відносять комерційно цінну ідею, технічні, технологічні (ноу-хау) та наукові (ноу-ноу) нововведення, оригінальні методи управління, організації бізнесу і інші досягнення. Інформація як результат творчості може бути не тільки предметом інтелектуальної власності, але й відображати характеристики, властиві об'єкту інтелектуальної власності.
Практична реалізація концепції інформаційних ресурсів пов'язана з поширенням інформації шляхом підготовки інформаційних продуктів і надання інформаційних послуг. Інформаційні продукти - документована інформація, підготовлена у відповідності з потребами користувачів і призначена або застосовується для задоволення потреб користувачів. Інформаційні послуги - дії суб'єктів (власників і власників ресурсів) щодо забезпечення користувачів інформаційними продуктами.
Правовий режим інформаційних ресурсів визначається нормами, що встановлюють:
- Порядок документування інформації;
- Право власності на окремі документи і окремі масиви документів;
- Категорію інформації за рівнем доступу до неї;
- Порядок правової охорони інформації.
Документування інформації (створення офіційного документа) є обов'язковою умовою включення інформації в інформаційні ресурси. Але слід обмовитися, що при формуванні системи захисту інформації нас цікавить також інформація, представлена в недокументированно вигляді - у вигляді звукової хвилі, електромагнітного випромінювання та в іншій формі.
Документована інформація є комплексним поняттям, заснованим на її двуедінстве: з одного боку, це інформація (факти, дані, відомості), а з іншого - матеріальний носій. У процесі документування інформація (результат творчої роботи людини) упредметнюється, стає документом. Подібний підхід до документованої інформації є істотним при вирішенні завдань забезпечення безпеки інформації та збереження її носія.
Слід враховувати, що документ може бути не тільки і навіть не стільки управлінським (діловим), що мають в більшості випадків текстову, табличну або анкетну форму. Значно більші обсяги найбільш цінних документів представлені в образотворчій формі: конструкторські документи, картографічні, науково-технічні, документи на фотографічних, магнітних та інших носіях.
По приналежності до того або іншого виду власності інформаційні ресурси можуть бути державними чи недержавними і як елемент складу майна знаходитися у власності громадян, органів державної влади, виконавчих органів, органів місцевого самоврядування, державних установ, організацій і підприємств, громадських об'єднань, підприємницьких структур. Захисту, охороні підлягає будь-який цінний документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві або іншій особі.
Цінність інформації може бути вартісної категорією і характеризувати конкретний розмір прибутку при її використанні чи розмір збитків при її втраті. Інформація часто стає цінним з огляду на її правового значення для фірми або розвитку бізнесу, наприклад установчі документи, програми та плани, договори з партнерами та посередниками і т. д. Цінність може виявлятися в її перспективному науковому, технічному або технологічному значенні.
Зазвичай виділяються два види інформації, інтелектуально цінною для підприємця:
- Технічна, технологічна: методи виготовлення продукції, програмне забезпечення, виробничі показники, хімічні формули, рецепти, розрахунки, результати випробувань дослідних зразків, дані контролю якості і т. п.;
- Ділова: вартісні показники, результати дослідження ринку, списки клієнтів, економічні прогнози, стратегія дій на ринку і т. п.
Цінна інформація охороняється нормами права (патентного, авторського, суміжних прав та ін), товарним знаком чи захищається включенням її до категорії інформації, що становить таємницю фірми.
Процес виявлення та регламентації реального складу цінної інформації, у тому числі складової секрети фірми, є основоположною частиною системи захисту інформації.
Склад цих відомостей фіксується в спеціальному переліку, закріплює факт віднесення їх до інформації, що захищається і визначальному період (строк) конфіденційності (тобто недоступності для всіх) цих відомостей, рівень (гриф) їх конфіденційності, список співробітників фірми, яким дано право використовувати ці відомості в роботі. В основі переліку лежить типовий склад захищаються відомостей фірм даного профілю. Перелік є постійним робочим матеріалом керівництва фірми, служб безпеки та конфіденційної документації. Він являє собою класифікований список типовий і конкретної цінної інформації про проведені роботи, виробленої продукції, наукових та ділових ідеях, технологічних нововведеннях. У перелік включаються дійсно цінні відомості («родзинки») про кожну роботу фірми. Слід зазначити, що не можна обмежувати доступ до інформації, що відноситься до нової продукції, але не має інтелектуальної цінності.
Додатково може складатися перелік документів, в яких цінна інформація відображається (документується). У перелік включаються документи, що представляють цінність для фірми і підлягають охороні. Часто звичайний відкритий правовий акт важливо зберегти в цілісності та безпеки від викрадача чи стихійного лиха. Переліки формуються індивідуально кожною фірмою відповідно до рекомендацій спеціальної комісії і затверджуються першим керівником фірми. Ця комісія регулярно вносить поточні зміни до переліків відповідно З динамікою виконання фірмою конкретних робіт.
При укладанні будь-якого договору (контракту) сторони повинні брати на себе взаємні письмові зобов'язання щодо захисту конфіденційної інформації іншої сторони і документів, отриманих при переговорах, виконанні умов договору.
Виробнича або комерційна цінність інформації, як правило, недовговічна і визначається часом, необхідним конкуренту для вироблення тієї ж ідеї чи її розкрадання і відтворення, а також часом до патентування, опублікування та переходу до числа загальновідомих.
Отже, інформаційні ресурси, продукти та послуги, які регламентують їх правові норми інтелектуальної і речової власності на інформацію, знаходять конкретне відображення в інформаційній моделі кожної фірми, побудованої у відповідності з рівнем цінності циркулюючих відомостей, які забезпечують управлінські та виробничі функції.
2.3. Конфіденційність як головна умова захисту інформації від несанкціонованого доступу
У відповідності з інтересами забезпечення національної безпеки і ступенем цінності для держави, а також правовими, економічними та іншими інтересами підприємницьких структур інформаційні ресурси можуть бути: а) відкритими, тобто загальнодоступними, використовуваними в роботі без спеціального дозволу, що публікуються в засобах масової інформації , оголошуваними на конференціях, у виступах та інтерв'ю, б) обмеженого доступу та використання, тобто містять відомості, що становлять той чи інший вид таємниці (державної, службової, комерційної, професійної тощо) і підлягають захисту, охорони, спостереження і контролю.
Забороняється відносити до інформації обмеженого доступу:
- Законодавчі та інші нормативні акти, що встановлюють правовий статус органів державної влади, виконавчих органів, органів місцевого самоврядування, організацій, громадських об'єднань, а також права, свободи і обов'язки громадян, порядок їх реалізації;
- Документи, що містять інформацію про надзвичайні ситуації, екологічну, метеорологічну, демографічну, санітарно-епідеміологічну та іншу інформацію, необхідну для забезпечення безпечного функціонування населених пунктів, виробничих об'єктів, безпеки громадян і населення в цілому;
- Документи, що містять інформацію про діяльність органів державної влади, виконавчих органів та органів місцевого самоврядування, про використання бюджетних коштів та інших державних і місцевих ресурсів, про стан економіки і потреби населення, за винятком відомостей, що відносяться до державної таємниці;
- Документи, що накопичуються у відкритих фондах бібліотек та архівів, інформаційних системах органів державної влади, виконавчих органів, органів місцевого самоврядування, організацій, громадських об'єднань, що представляють суспільний інтерес чи необхідні для реалізації прав, свобод і обов'язків громадян.
Документована інформація обмеженого доступу завжди належить до одного з видів таємниці - державної або недержавної. Відповідно до цього документи поділяються на приватні та несекретні.
Обов'язковою ознакою (критерієм приналежності) секретного документа є наявність у ньому відомостей, що становлять відповідно до законодавства державну таємницю. Несекретні документи, що включають відомості, що відносяться до недержавної таємниці (службової, комерційної або підприємницької, банківської, професійної, виробничої та ін) або містять персональні дані громадян, іменуються конфіденційними.
Незважаючи на те що конфіденційність є синонімом секретності, термін широко використовується виключно для позначення інформаційних ресурсів обмеженого доступу, не віднесених до державної таємниці. Конфіденційність відображає обмеження, яке накладає власник інформації на доступ до неї інших осіб, тобто власник встановлює правовий режим цієї інформації відповідно до закону. Разом з тим відповідно до Федерального закону Російської Федерації від 29 липня 2004 р. «Про комерційну таємницю» до конфіденційних документів не можна відносити:
1) відомості, що містяться в установчих документах юридичної особи, документах, що підтверджують факт внесення записів про юридичних осіб та про індивідуальних підприємців у відповідні державні реєстри;
2) відомості, що містяться в документах, що дають право на здійснення підприємницької діяльності;
3) відомості про склад майна державного або муніципального унітарного підприємства, державної установи та про використання ними коштів відповідних бюджетів;
4) відомості про забруднення навколишнього середовища, стан протипожежної безпеки, санітарно-епідеміологічної та радіаційної обстановки, безпеки харчових продуктів та інших факторах, які впливають на забезпечення безпечного функціонування виробничих об'єктів, безпеки кожного громадянина і безпеки населення в цілому;
5) відомості про чисельність, склад працівників, систему оплати праці, про умови праці, у тому числі про охорону праці, про показники виробничого травматизму та професійної захворюваності, і про наявність вільних робочих місць;
6) відомості про заборгованість роботодавців із виплати заробітної плати і по інших соціальних виплатах;
7) відомості про порушення законодавства Російської Федерації і факти притягнення до відповідальності за вчинення цих порушень;
8) відомості про умови конкурсів чи аукціонів з приватизації об'єктів державної або муніципальної власності;
9) відомості про розміри та структуру доходів некомерційних організацій, про розміри та склад їх майна, про їх витрати, про чисельність і про оплату праці їх працівників, про використання безоплатного праці громадян у діяльності некомерційної організації;
10) відомості про перелік осіб, які мають право діяти без довіреності від імені юридичної особи;
11) відомості, обов'язковість розкриття яких або неприпустимість обмеження доступу до яких встановлена іншими федеральними законами.
Інтелектуально цінна інформація не може існувати поза певних предметних утворень. Накопичувачі цінних інформаційних ресурсів називаються джерелами (носіями, володарями) інформації. Вони являють собою пасивні концентратори цієї інформації і включають в себе:
- Публікації про фірму та її розробки;
- Рекламні видання, виставочні матеріали;
- Документацію;
- Персонал фірми і оточуючих фірму людей;
- Фізичні поля, хвилі, випромінювання, що супроводжують роботу обчислювальної та іншої офісної техніки, різних приладів та засобів зв'язку.
Джерела містять інформацію як відкритого, так і обмеженого доступу. Причому інформація того і іншого роду знаходиться в єдиному інформаційному просторі і розділити її без ретельного змістовного аналізу часто не представляється можливим. Наприклад, систематизована сукупність відкритої інформації в комплексі завжди містить відомості обмеженого доступу.
Документація як джерело інформації обмеженого доступу включає:
- Документацію, що містить інтелектуально цінні, як правило, конфіденційні відомості;
- Комплекси звичайної ділової та науково-технічної документації, що містить загальновідомі відомості, організаційно-правові та розпорядчі документи;
- Робочі записи співробітників, їх службові щоденники, особисті робочі плани, переписку з виробничих питань;
- Особисті архіви співробітників фірми.
У кожній із зазначених груп можуть бути:
- Документи на традиційних паперових носіях (листах паперу, ватмані, фотопапері і т. п.);
- Документи на технічних носіях (магнітних, фотопленочних і т. п.);
- Електронні документи, банки електронних документів, зображення документів на екрані дисплея (відеограми).
При виконанні управлінських і виробничих дій будь-яка інформація джерела (в тому числі інформація обмеженого доступу) завжди поширюється у зовнішньому середовищі. Тим самим збільшується кількість небезпечних джерел розголошення або витоку інформації обмеженого доступу, джерел, що підлягають обліку і контролю.
Канали розповсюдження інформації носять об'єктивний характер, відрізняються активністю і включають в себе:
- Ділові, управлінські, торгові, наукові та інші комунікативні регламентовані зв'язки;
- Документопотоки;
- Інформаційні мережі;
- Природні технічні канали випромінювання, створення фону.
Канал розповсюдження інформації представляє собою шлях переміщення відомостей з одного джерела в інший в санкціонованому (дозволеному, законному) режимі або в силу об'єктивних закономірностей. Наприклад: передача документа виконавцю, обговорення важливого питання на закритій нараді, запис на папері змісту винаходу, переговори з потенційним партнером, робота на ЕОМ і т. д.
Отже, інформаційні ресурси фірми представляють собою динамічну категорію, що проявляється насамперед у процесі документування інформації, об'єктивному виникненні та розширенні складу джерел і каналів її поширення.
2.4. Конфіденційні документи
Під конфіденційним (закритим, що захищається) документом розуміється необхідним чином оформлений носій документованої інформації, що містить відомості обмеженого доступу або використання, які становлять інтелектуальну власність юридичної або фізичної особи. Конфіденційні документи не слід називати секретними або ставити на них гриф секретності, так як конфіденційні і секретні документи відображають різні види таємниці.
Конфіденційні документи включають в себе:
- У державних структурах: службову інформацію обмеженого поширення, іменовану в чиновницькому побуті інформацією для службового користування, тобто інформацією, віднесеної до службової таємниці, а також документи, що мають робочий характер і не підлягають публікації у відкритій пресі (проекти документів, супутні матеріали та ін);
- У підприємницьких структурах і напрямах подібної діяльності: відомості, які їх власник або власник відповідно до законодавства має право віднести до комерційної (підприємницької) таємниці, таємниці фірми, таємниці майстерності, інших видів недержавної таємниці;
- Незалежно від приналежності: будь-які персональні (особисті) дані про громадян, а також відомості, що містять професійну таємницю, технічні та технологічні нововведення (до їх патентування), таємницю підприємств зв'язку, сфери обслуговування і т. п.
Особливістю конфіденційного документа є те, що він представляє собою одночасно:
- Масовий носій цінної, що захищається інформації;
- Основне джерело накопичення та об'єктивного поширення цієї інформації, а також її неправомірного розголошення або витоку;
- Обов'язковий об'єкт захисту.
Конфіденційність документів завжди має значний розкид за термінами обмеження вільного доступу до них персоналу фірми (від декількох годин до значного числа років). Слід враховувати, що основна маса конфіденційних документів після закінчення їх виконання або роботи з ними втрачає свою цінність і конфіденційність. Наприклад, листування до укладення контракту може мати гриф конфіденційності, але після його підписання цей гриф з письмового дозволу першого керівника фірми знімається.
Виконані документи, що зберегли конфіденційний характер і цінність для діяльності фірми, формуються у справи відповідно до номенклатури справ. Період перебування конфіденційних документів у справах може бути короткочасним або тривалим в залежності від цінності інформації, що міститься в документах справи. Період конфіденційності документів визначається за вказаною вище переліку конфіденційних відомостей і залежить від специфіки діяльності фірми. Наприклад, виробничі, науково-дослідні фірми мають більш цінними документами, ніж торговельні, посередницькі та ін
Документи довготривалого періоду конфіденційності (програми та плани розвитку бізнесу, технологічна документація ноу-хау, ноу-ноу, винаходи тощо) мають ускладнений варіант обробки і зберігання, що забезпечує безпеку інформації та її носія. Документи короткочасного періоду конфіденційності, що мають оперативне значення для діяльності фірми, - обробляються і зберігаються за спрощеною схемою і можуть не виділятися з технологічної системи обробки відкритих документів за наявності в цій системі мінімальних захисних, контрольних та аналітичних елементів.
Отже, конфіденційні документи характеризуються специфічними особливостями, які відображають їх сутність як носіїв інформації обмеженого доступу і визначають побудову системи захисту цієї інформації.
2.5. Загрози конфіденційної інформації
Усі інформаційні ресурси фірми постійно піддаються об'єктивним та суб'єктивним загрозам втрати носія або цінності інформації.
Під загрозою, або небезпекою, втрати інформації розуміється одиничне або комплексне, реальне або потенційне, активне чи пасивне прояв несприятливих можливостей зовнішніх або внутрішніх джерел загрози створювати критичні ситуації, події, надавати дестабілізуючий вплив на захищає інформацію, документи і бази даних.
Ризик загрози дестабілізуючого впливу будь-яким (відкритим і обмеженого доступу) інформаційних ресурсів створюють стихійні лиха, екстремальні ситуації, аварії технічних засобів і ліній зв'язку, інші об'єктивні обставини, а також зацікавлені і незацікавлені у виникненні загрози особи. До загроз, що створюються цими особами, відносяться: несанкціоноване знищення документів, прискорення згасання (старіння) тексту або зображення, підміна або вилучення документів, фальсифікація тексту або його частини та ін
Для інформаційних ресурсів обмеженого доступу діапазон загроз, які передбачають втрату інформації (розголошення, витік) або втрату носія, значно ширше в результаті того, що до цих документів виявляється підвищений інтерес з боку різного роду зловмисників.
Під зловмисником розуміється особа, що діє в інтересах конкурента, супротивника або в особистих корисливих інтересах (агентів іноземних спецслужб, промислового та економічного шпигунства, кримінальних структур, окремих злочинних елементів, осіб, які співпрацюють зі зловмисником, психічно хворих осіб і т. п.).
На відміну від об'єктивного поширення втрата інформації тягне за собою незаконний перехід конфіденційних відомостей, документів до суб'єкта, який не має права володіння ними і використання у своїх цілях.
Основною загрозою безпеки інформаційних ресурсів обмеженого поширення є несанкціонований (незаконний, недозволений) доступ зловмисника або сторонньої особи до документованої інформації і як результат - оволодіння інформацією і протиправне її використання або вчинення інших дестабілізуючих дій.
Під сторонньою особою розуміється будь-яка особа, що не має безпосереднього відношення до діяльності фірми (працівники інших організаційних структур, працівники комунальних служб, екстремальної допомоги, перехожі, відвідувачі фірми), а також співробітники даної фірми, що не володіють правом доступу в певні приміщення, до конкретного документа , інформації, базі даних. Кожна із вказаних осіб може бути зловмисником чи його спільником, агентом, але може і не бути ним.
Цілями і результатами несанкціонованого доступу може бути не тільки оволодіння цінними відомостями і їх використання, а й їх видозміну, модифікація, знищення, фальсифікація, підміна і т. п.
Обов'язковою умовою успішного здійснення спроби несанкціонованого доступу до інформаційних ресурсів огранічейного доступу є інтерес до них з боку конкурентів, певних осіб, служб і організацій. При відсутності такого інтересу загроза інформації не виникає навіть у тому випадку, якщо створилися передумови для ознайомлення з нею сторонньої особи. Основним винуватцем несанкціонованого доступу до інформаційних ресурсів є, як правило, персонал, що працює з документами, інформацією та базами даних. При цьому треба мати на увазі, що втрата інформації відбувається у більшості випадків не в результаті навмисних дій зловмисника, а через неуважність і безвідповідальності персоналу. Отже, втрата інформаційних ресурсів обмеженого доступу може настати при:
- Наявності інтересу конкурента, установ, фірм або осіб до конкретної інформації;
- Виникненні ризику загрози, організованою зловмисником, або при випадково сформованих обставинах;
- Наявності умов, що дозволяють зловмисникові здійснити необхідні дії і оволодіти інформацією.
Ці умови можуть включати:
- Відсутність системної аналітичної та контрольної роботи з виявлення та вивчення загроз, каналів і ступеня ризику порушень безпеки інформаційних ресурсів;
- Неефективну систему захисту інформації або відсутність цієї системи, що утворює високу ступінь уразливості інформації;
- Непрофесійно організовану технологію обробки і зберігання конфіденційних документів;
- Невпорядкований підбір персоналу і плинність кадрів, складний психологічний клімат у колективі;
- Відсутність системи навчання працівників правил захисту інформації обмеженого доступу;
- Відсутність контролю з боку керівництва фірми за дотриманням персоналом вимог нормативних документів по роботі з інформаційними ресурсами обмеженого доступу;
- Безконтрольне відвідування приміщень фірми сторонніми особами.
Слід завжди пам'ятати, що факт документування різко збільшує ризик загрози інформації. Великі майстри минулого ніколи не записували секрети свого мистецтва, а передавали їх усно синові, учневі. Тому таємниця виготовлення багатьох унікальних предметів того часу так і не розкрита до наших днів.
Отже, загрози конфіденційної інформації завжди реальні, відрізняються великою різноманітністю і створюють передумови для втрати інформації. Джерела загрози інформації конкретної фірми повинні бути добре відомі. В іншому разі не можна професійно побудувати систему захисту інформації.
2.6. Канали втрати інформації
Загрози схоронності, цілісності і конфіденційності інформаційних ресурсів обмеженого доступу практично реалізуються через ризик утворення каналу несанкціонованого отримання (добування) кимось цінної інформації і документів. Цей канал являє собою сукупність незахищених або слабо захищених фірмою напрямків можливої втрати конфіденційної інформації, які зловмисник використовує для отримання необхідних відомостей, навмисного незаконного доступу до інформації, що захищається.
Кожна конкретна фірма володіє своїм набором каналів несанкціонованого доступу до інформації, що залежить від безлічі моментів - профілю діяльності, обсягів інформації, що захищається, професійного рівня персоналу, місця розташування будівлі і т. п.
Функціонування каналу несанкціонованого доступу до інформації обов'язково тягне за собою втрату інформації або зникнення носія інформації.
У тому випадку, коли мова йде про втрату інформації з вини персоналу, використовується термін «розголошення (розголос) інформації». Людина може розголошувати інформацію усно, письмово, за допомогою жестів, міміки, умовних сигналів, особисто, через посередників, по каналах зв'язку і т. д. Термін «витік інформації», хоча і використовується найбільш широко, однак більшою мірою відноситься, на нашу думку, до втрати інформації за рахунок її перехоплення за допомогою технічних засобів розвідки, по технічних каналах.
Втрата інформації характеризується двома умовами, а саме інформація переходить: а) безпосередньо до зацікавленій особі - конкуренту, зловмисникові або б) до випадкового, третій особі.
Під третьою особою в даному випадку розуміється будь-стороння особа, що отримала інформацію у володіння в силу обставин чи безвідповідальності персоналу, що не володіє правом володіння нею і, що дуже важливо, не зацікавлений в цій інформації. Однак від третьої особи інформація може легко перейти до зловмисникові.
Перехід інформації до третьої особи представляється досить частим явищем і його можна назвати ненавмисним, стихійним, хоча при цьому факт розголошення інформації, порушення її безпеки має місце. Виникає так званий випадковий, стихійний канал втрати інформації.
Ненавмисний перехід інформації до третьої особи виникає в результаті:
- Втрати або неправильного знищення документа, пакета з документами, справи, конфіденційних записів;
- Ігнорування або умисного невиконання співробітником вимог по захисту документованої інформації;
- Зайвої балакучості співробітників при відсутності зловмисника (з колегами по роботі, родичами, друзями, іншими особами в місцях загального користування, транспорті і т. п.);
- Роботи з документами обмеженого доступу при сторонніх особах, несанкціонованої передачі їх іншому співробітнику;
- Використання відомостей обмеженого доступу у відкритій документації, публікаціях, інтерв'ю, особистих записах, щоденниках і т. п.;
- Відсутності маркування (грифування) інформації і документів обмеженого доступу (в тому числі документів на технічних носіях);
- Наявності в конфіденційних документах зайвої інформації обмеженого доступу;
- Самовільного копіювання співробітником документів в службових або колекційних цілях.
На відміну від третьої особи зловмисник або його спільник цілеспрямовано прагнуть опанувати конкретною інформацією і навмисно, протиправно встановлюють контакт з джерелом цієї інформації або перетворять канал її об'єктивного поширення в канал її розголошення або витоку. Канали втрати інформації в умовах добре побудованої системи захисту інформації формуються зловмисником. При погано побудованій системі вибираються їм з безлічі можливих каналів. У будь-якому випадку такі канали завжди є таємницею зловмисника.
Канали несанкціонованого доступу, втрати інформації можуть бути двох типів: організаційні та технічні. Забезпечуються вони легальними і нелегальними методами.
Організаційні канали розголошення інформації відрізняються великою різноманітністю видів і засновані на встановленні різноманітних, в тому числі законних, взаємовідносин зловмисника з фірмою або її співробітником для подальшого несанкціонованого доступу до інформації, що цікавить.
Основними видами організаційних каналів можуть бути:
- Надходження зловмисника на роботу у фірму, як правило, на технічну, другорядну посаду (оператором ЕОМ, секретарем, двірником, слюсарем, охоронцем, шофером і т. п.);
- Участь в роботі фірми в якості партнера, посередника, клієнта, використання різноманітних обманних способів;
- Пошук зловмисником спільники (ініціативного помічника), що працює в цікавій його фірмі, що стає його співучасником;
- Встановлення зловмисником довірчих взаємин з співробітником установи, фірми чи відвідувачем, співробітником іншої установи, які мають цікавлять зловмисника відомостями;
- Використання комунікативних зв'язків фірми - участь у переговорах, нарадах, листуванні з фірмою і ін;
- Використання помилкових дій персоналу або умисне провокування зловмисником цих дій;
- Таємне або за фіктивними документами проникнення в будівлю фірми і приміщення, кримінальний, силовий доступ до інформації, тобто крадіжка документів, дискет, дисків, комп'ютерів, шантаж і схиляння до співпраці окремих співробітників, підкуп співробітників, створення екстремальних ситуацій і т. п.;
- Отримання потрібної інформації від третього (випадкового) особи.
Організаційні канали перебувають або формуються зловмисником індивідуально відповідно до його професійним умінням оцінювати конкретну ситуацію, що склалася у фірмі, і прогнозувати їх украй складно. Виявлення організаційних каналів вимагає проведення серйозної аналітичної роботи.
Технічне забезпечення офісних технологій створює широкі можливості несанкціонованого отримання цінних відомостей. Будь-яка управлінська діяльність завжди пов'язана з обговоренням цінної інформації у кабінетах або по лініях зв'язку, проведенням розрахунків та аналізу ситуацій на ЕОМ, виготовленням, розмноженням документів і т. п.
Технічні канали витоку інформації виникають при використанні зловмисником спеціальних технічних засобів промислового шпигунства, що дозволяють отримувати захищається інформацію без безпосереднього контакту з персоналом фірми, документами, справами і базами даних. Технічний канал являє собою фізичний шлях витоку інформації від джерела або каналу об'єктивного поширення інформації до зловмисника.
Канал виникає при аналізі зловмисником фізичних полів і випромінювань, що з'являються в процесі роботи обчислювальної та іншої офісної техніки, при перехопленні інформації, що має звукову, візуальну чи іншу форму відображення. Основними технічними каналами є: акустичний, візуально-оптичний, електромагнітний і ін Це канали прогнозовані, носять стандартний характер і перекриваються стандартними засобами протидії.
При побудові системи захисту інформації фірми часто не враховують небезпеку цих каналів або нехтують ними, так як вартість засобів перекриття цих каналів вимагає великих витрат.
Акустичний канал виникає за рахунок утворення звукової хвилі в кабінетах керівників при веденні переговорів, залах засідань у процесі нарад, в робочих приміщеннях при диктовку документів і в інших подібних випадках. У процесі розмови, навіть неголосного, ми «стрясає повітря», і це струс передається оточуючим нас предметів. Звукова хвиля змушує вібрувати скла у вікнах, стінові панелі, елементи опалювальних систем, вентиляційні простору та інші предмети. Звук поширюється завжди по безлічі шляхів. Виниклі коливання можна сканувати за допомогою спеціальної техніки з цих предметів і на досить великій відстані перетворювати в чутний звук.
Акустичний канал може утворюватися також за рахунок «мікрофонного ефекту», властивого механічній дії звукової хвилі на електродинаміки радіо-і телевізійної апаратури, динаміки радіотрансляції, реле в холодильниках, електродзвінка та інших приладах. Наприклад, при підключенні до електродинаміки будь-якого типу можна за межами офісу фірми (поза контрольованої зони) прослуховувати приміщення і вести запис переговорів.
Візуальний, або візуально-оптичний, канал пов'язаний зі спостереженням за будівлею, приміщеннями і персоналом фірми за допомогою оптичних приладів, що дозволяють, наприклад, читати інформацію на дисплеї, оцінювати дії персоналу охорони, ідентифікувати співробітників, іноді читати документи на їх робочих столах, знайомитися з системами зберігання документів і т. д. Спостереження за приміщеннями фірми завжди супроводжується фото-та відеозаписом.
Електромагнітні канали супроводжують роботу засобів радіозв'язку, радіотелефонів, побутовій та виробничій відеотехніки, комп'ютерів, диктофонів і інших подібних приладів.
Звичним і професійно грамотним є творче поєднання в діях зловмисника каналів обох типів, наприклад встановлення довірчих відносин зі співробітником фірми або особою, яка проживає поруч з будівлею фірми, і перехоплення з його допомогою інформації по технічних каналах. Варіантів і поєднань каналів може бути безліч. Винахідливість грамотного зловмисника не знає меж, тому ризик втрати інформації завжди досить великий. При ефективній системі захисту інформації фірми зловмисник руйнує окремі елементи захисту і формує необхідний йому канал отримання інформації.
З метою практичної реалізації поставлених завдань зловмисник визначає не тільки канали несанкціонованого доступу до інформації фірми, але і сукупність методів отримання цієї інформації.
Легальні методи входять у зміст понять "невинного шпигунства» і «розвідки у бізнесі», відрізняються правової безпекою і, як правило, зумовлюють виникнення інтересу до конкуруючій фірмі. Відповідно до цього може з'явитися необхідність використання каналів несанкціонованого доступу до необхідної інформації. В основі «безневинного шпигунства» лежить копітка аналітична робота фахівців-експертів над опублікованими і загальнодоступними матеріалами конкуруючої фірми. Одночасно вивчаються продукція фірми, рекламні видання, відомості, отримані в процесі офіційних і неофіційних розмов і переговорів із співробітниками фірми, матеріали прес-конференцій, презентацій фірми і продукції наукових симпозіумів та семінарів, відомості, отримані з інформаційних мереж.
При комплексному системному аналізі цих матеріалів з'являється можливість формування з розрізнених і окремо неконфіденційні відомостей достатньо повної картини, що відбиває наявні у фірмі секрети. Цей процес аналогічний принципу мозаїки, коли з безлічі сегментів складається певна картинка.
Легальні методи дають зловмисникові основну масу цікавить його інформації і дозволяють визначити склад відсутніх захищаються відомостей, які належить добути нелегальними методами.
Нелегальні методи отримання цінної інформації завжди носять незаконний характер і використовуються з метою доступу до інформації, що захищається, яку неможливо отримати легальними способами. В основі нелегального отримання інформації лежить пошук зловмисником існуючих у фірмі і найбільш ефективних у конкретних умовах незахищених організаційних і технічних каналів несанкціонованого доступу до інформації, формування таких каналів при їх відсутності і реалізація плану практичного комплексного використання цих каналів.
Нелегальні методи передбачають: злодійство, продуманий обман, підслуховування розмов, підробку ідентифікують документів, хабарництво, інсценування або організацію екстремальних ситуацій, використання різних кримінальних прийомів і т. д. У процесі реалізації нелегальних методів часто утворюється агентурний канал добування цінної інформації, тобто злочинне співробітництво зловмисників або зловмисника і його спільників. До нелегальним методів відносяться також: перехоплення інформації, об'єктивно розповсюджується по технічних каналах (акустичному, електромагнітного та ін), візуальне спостереження за приміщеннями фірми і персоналом, аналіз продуктів та об'єктів, що містять сліди, що захищається, аналіз архітектурних особливостей об'єктів захисту, аналіз відходів виробництва , сміття, що виноситься з офісу. Незаконний характер перехоплення інформації технічними каналами, так само як і вивчення загальнодоступних джерел, визначається не процесом, а метою цих дій зловмисника.
У результаті ефективного використання каналів несанкціонованого доступу до інформації обмеженого доступу і різноманітних методів її добування зловмисник отримує:
- Оригінал або офіційну копію документа (паперового, машиночитаному, електронного), що містить інформацію обмеженого доступу;
- Несанкціоновано, нелегально зроблену копію цього документа (рукописну чи виготовлену за допомогою копіювального апарату, фототехніки, комп'ютера і т. п.);
- Диктофонний, магнітофонну або відеокасету з записом тексту документа, переговорів, наради;
- Письмове або усне виклад за межами фірми змісту документа, ознайомлення з яким здійснювалося санкціоновано або таємно;
- Усне викладення тексту документа по телефону, мобільного зв'язку, переговорному пристрою, спеціальної радіозв'язку і т. п.;
- Аналог документа, переданого по факсимільному зв'язку або електронною поштою;
- Мовленнєву або візуальну запис тексту документа, виконану за допомогою технічних засобів розвідки (радіозакладок, вбудованих мікрофонів і відеокамер, мікрофотоаппаратов, фотографування з великої відстані).
Отримання цінних документів або інформації обмеженого доступу може бути одиничним явищем або регулярним процесом, що протікає протягом відносно тривалого часу. Тривалість цього процесу є найбільш кращою, тому канали несанкціонованого доступу завжди носять таємний характер.
Отже, будь-які інформаційні ресурси фірми є дуже вразливою категорією, і при інтересі, що виникла до них з боку зловмисника, небезпека їх втрати стає досить реальною. Безпека інформації в сучасних умовах комп'ютеризації інформаційних процесів має принципове значення для запобігання незаконного та часто злочинного використання цінних відомостей.
Перехід інформації до третьої особи представляється досить частим явищем і його можна назвати ненавмисним, стихійним, хоча при цьому факт розголошення інформації, порушення її безпеки має місце. Виникає так званий випадковий, стихійний канал втрати інформації.
Ненавмисний перехід інформації до третьої особи виникає в результаті:
- Втрати або неправильного знищення документа, пакета з документами, справи, конфіденційних записів;
- Ігнорування або умисного невиконання співробітником вимог по захисту документованої інформації;
- Зайвої балакучості співробітників при відсутності зловмисника (з колегами по роботі, родичами, друзями, іншими особами в місцях загального користування, транспорті і т. п.);
- Роботи з документами обмеженого доступу при сторонніх особах, несанкціонованої передачі їх іншому співробітнику;
- Використання відомостей обмеженого доступу у відкритій документації, публікаціях, інтерв'ю, особистих записах, щоденниках і т. п.;
- Відсутності маркування (грифування) інформації і документів обмеженого доступу (в тому числі документів на технічних носіях);
- Наявності в конфіденційних документах зайвої інформації обмеженого доступу;
- Самовільного копіювання співробітником документів в службових або колекційних цілях.
На відміну від третьої особи зловмисник або його спільник цілеспрямовано прагнуть опанувати конкретною інформацією і навмисно, протиправно встановлюють контакт з джерелом цієї інформації або перетворять канал її об'єктивного поширення в канал її розголошення або витоку. Канали втрати інформації в умовах добре побудованої системи захисту інформації формуються зловмисником. При погано побудованій системі вибираються їм з безлічі можливих каналів. У будь-якому випадку такі канали завжди є таємницею зловмисника.
Канали несанкціонованого доступу, втрати інформації можуть бути двох типів: організаційні та технічні. Забезпечуються вони легальними і нелегальними методами.
Організаційні канали розголошення інформації відрізняються великою різноманітністю видів і засновані на встановленні різноманітних, в тому числі законних, взаємовідносин зловмисника з фірмою або її співробітником для подальшого несанкціонованого доступу до інформації, що цікавить.
Основними видами організаційних каналів можуть бути:
- Надходження зловмисника на роботу у фірму, як правило, на технічну, другорядну посаду (оператором ЕОМ, секретарем, двірником, слюсарем, охоронцем, шофером і т. п.);
- Участь в роботі фірми в якості партнера, посередника, клієнта, використання різноманітних обманних способів;
- Пошук зловмисником спільники (ініціативного помічника), що працює в цікавій його фірмі, що стає його співучасником;
- Встановлення зловмисником довірчих взаємин з співробітником установи, фірми чи відвідувачем, співробітником іншої установи, які мають цікавлять зловмисника відомостями;
- Використання комунікативних зв'язків фірми - участь у переговорах, нарадах, листуванні з фірмою і ін;
- Використання помилкових дій персоналу або умисне провокування зловмисником цих дій;
- Таємне або за фіктивними документами проникнення в будівлю фірми і приміщення, кримінальний, силовий доступ до інформації, тобто крадіжка документів, дискет, дисків, комп'ютерів, шантаж і схиляння до співпраці окремих співробітників, підкуп співробітників, створення екстремальних ситуацій і т. п.;
- Отримання потрібної інформації від третього (випадкового) особи.
Організаційні канали перебувають або формуються зловмисником індивідуально відповідно до його професійним умінням оцінювати конкретну ситуацію, що склалася у фірмі, і прогнозувати їх украй складно. Виявлення організаційних каналів вимагає проведення серйозної аналітичної роботи.
Технічне забезпечення офісних технологій створює широкі можливості несанкціонованого отримання цінних відомостей. Будь-яка управлінська діяльність завжди пов'язана з обговоренням цінної інформації у кабінетах або по лініях зв'язку, проведенням розрахунків та аналізу ситуацій на ЕОМ, виготовленням, розмноженням документів і т. п.
Технічні канали витоку інформації виникають при використанні зловмисником спеціальних технічних засобів промислового шпигунства, що дозволяють отримувати захищається інформацію без безпосереднього контакту з персоналом фірми, документами, справами і базами даних. Технічний канал являє собою фізичний шлях витоку інформації від джерела або каналу об'єктивного поширення інформації до зловмисника.
Канал виникає при аналізі зловмисником фізичних полів і випромінювань, що з'являються в процесі роботи обчислювальної та іншої офісної техніки, при перехопленні інформації, що має звукову, візуальну чи іншу форму відображення. Основними технічними каналами є: акустичний, візуально-оптичний, електромагнітний і ін Це канали прогнозовані, носять стандартний характер і перекриваються стандартними засобами протидії.
При побудові системи захисту інформації фірми часто не враховують небезпеку цих каналів або нехтують ними, так як вартість засобів перекриття цих каналів вимагає великих витрат.
Акустичний канал виникає за рахунок утворення звукової хвилі в кабінетах керівників при веденні переговорів, залах засідань у процесі нарад, в робочих приміщеннях при диктовку документів і в інших подібних випадках. У процесі розмови, навіть неголосного, ми «стрясає повітря», і це струс передається оточуючим нас предметів. Звукова хвиля змушує вібрувати скла у вікнах, стінові панелі, елементи опалювальних систем, вентиляційні простору та інші предмети. Звук поширюється завжди по безлічі шляхів. Виниклі коливання можна сканувати за допомогою спеціальної техніки з цих предметів і на досить великій відстані перетворювати в чутний звук.
Акустичний канал може утворюватися також за рахунок «мікрофонного ефекту», властивого механічній дії звукової хвилі на електродинаміки радіо-і телевізійної апаратури, динаміки радіотрансляції, реле в холодильниках, електродзвінка та інших приладах. Наприклад, при підключенні до електродинаміки будь-якого типу можна за межами офісу фірми (поза контрольованої зони) прослуховувати приміщення і вести запис переговорів.
Візуальний, або візуально-оптичний, канал пов'язаний зі спостереженням за будівлею, приміщеннями і персоналом фірми за допомогою оптичних приладів, що дозволяють, наприклад, читати інформацію на дисплеї, оцінювати дії персоналу охорони, ідентифікувати співробітників, іноді читати документи на їх робочих столах, знайомитися з системами зберігання документів і т. д. Спостереження за приміщеннями фірми завжди супроводжується фото-та відеозаписом.
Електромагнітні канали супроводжують роботу засобів радіозв'язку, радіотелефонів, побутовій та виробничій відеотехніки, комп'ютерів, диктофонів і інших подібних приладів.
Звичним і професійно грамотним є творче поєднання в діях зловмисника каналів обох типів, наприклад встановлення довірчих відносин зі співробітником фірми або особою, яка проживає поруч з будівлею фірми, і перехоплення з його допомогою інформації по технічних каналах. Варіантів і поєднань каналів може бути безліч. Винахідливість грамотного зловмисника не знає меж, тому ризик втрати інформації завжди досить великий. При ефективній системі захисту інформації фірми зловмисник руйнує окремі елементи захисту і формує необхідний йому канал отримання інформації.
З метою практичної реалізації поставлених завдань зловмисник визначає не тільки канали несанкціонованого доступу до інформації фірми, але і сукупність методів отримання цієї інформації.
Легальні методи входять у зміст понять "невинного шпигунства» і «розвідки у бізнесі», відрізняються правової безпекою і, як правило, зумовлюють виникнення інтересу до конкуруючій фірмі. Відповідно до цього може з'явитися необхідність використання каналів несанкціонованого доступу до необхідної інформації. В основі «безневинного шпигунства» лежить копітка аналітична робота фахівців-експертів над опублікованими і загальнодоступними матеріалами конкуруючої фірми. Одночасно вивчаються продукція фірми, рекламні видання, відомості, отримані в процесі офіційних і неофіційних розмов і переговорів із співробітниками фірми, матеріали прес-конференцій, презентацій фірми і продукції наукових симпозіумів та семінарів, відомості, отримані з інформаційних мереж.
При комплексному системному аналізі цих матеріалів з'являється можливість формування з розрізнених і окремо неконфіденційні відомостей достатньо повної картини, що відбиває наявні у фірмі секрети. Цей процес аналогічний принципу мозаїки, коли з безлічі сегментів складається певна картинка.
Легальні методи дають зловмисникові основну масу цікавить його інформації і дозволяють визначити склад відсутніх захищаються відомостей, які належить добути нелегальними методами.
Нелегальні методи отримання цінної інформації завжди носять незаконний характер і використовуються з метою доступу до інформації, що захищається, яку неможливо отримати легальними способами. В основі нелегального отримання інформації лежить пошук зловмисником існуючих у фірмі і найбільш ефективних у конкретних умовах незахищених організаційних і технічних каналів несанкціонованого доступу до інформації, формування таких каналів при їх відсутності і реалізація плану практичного комплексного використання цих каналів.
Нелегальні методи передбачають: злодійство, продуманий обман, підслуховування розмов, підробку ідентифікують документів, хабарництво, інсценування або організацію екстремальних ситуацій, використання різних кримінальних прийомів і т. д. У процесі реалізації нелегальних методів часто утворюється агентурний канал добування цінної інформації, тобто злочинне співробітництво зловмисників або зловмисника і його спільників. До нелегальним методів відносяться також: перехоплення інформації, об'єктивно розповсюджується по технічних каналах (акустичному, електромагнітного та ін), візуальне спостереження за приміщеннями фірми і персоналом, аналіз продуктів та об'єктів, що містять сліди, що захищається, аналіз архітектурних особливостей об'єктів захисту, аналіз відходів виробництва , сміття, що виноситься з офісу. Незаконний характер перехоплення інформації технічними каналами, так само як і вивчення загальнодоступних джерел, визначається не процесом, а метою цих дій зловмисника.
У результаті ефективного використання каналів несанкціонованого доступу до інформації обмеженого доступу і різноманітних методів її добування зловмисник отримує:
- Оригінал або офіційну копію документа (паперового, машиночитаному, електронного), що містить інформацію обмеженого доступу;
- Несанкціоновано, нелегально зроблену копію цього документа (рукописну чи виготовлену за допомогою копіювального апарату, фототехніки, комп'ютера і т. п.);
- Диктофонний, магнітофонну або відеокасету з записом тексту документа, переговорів, наради;
- Письмове або усне виклад за межами фірми змісту документа, ознайомлення з яким здійснювалося санкціоновано або таємно;
- Усне викладення тексту документа по телефону, мобільного зв'язку, переговорному пристрою, спеціальної радіозв'язку і т. п.;
- Аналог документа, переданого по факсимільному зв'язку або електронною поштою;
- Мовленнєву або візуальну запис тексту документа, виконану за допомогою технічних засобів розвідки (радіозакладок, вбудованих мікрофонів і відеокамер, мікрофотоаппаратов, фотографування з великої відстані).
Отримання цінних документів або інформації обмеженого доступу може бути одиничним явищем або регулярним процесом, що протікає протягом відносно тривалого часу. Тривалість цього процесу є найбільш кращою, тому канали несанкціонованого доступу завжди носять таємний характер.
Отже, будь-які інформаційні ресурси фірми є дуже вразливою категорією, і при інтересі, що виникла до них з боку зловмисника, небезпека їх втрати стає досить реальною. Безпека інформації в сучасних умовах комп'ютеризації інформаційних процесів має принципове значення для запобігання незаконного та часто злочинного використання цінних відомостей.
Висновки поразделу
Безпека інформаційних ресурсів (інформації) - захищеність інформації в часі і просторі від будь-яких об'єктивних і суб'єктивних загроз (небезпек), що виникають у звичайних умовах функціонування фірми та умовах екстремальних ситуацій: стихійних лих, інших некерованих подій, пасивних і активних спроб зловмисника створити потенційну або реальну загрозу несанкціонованого доступу до документів, справ, баз даних.
Політика (концепція, програма) інформаційної безпеки фірми практично реалізується комплексом напрямків і методів захисту інформації, що забезпечує її безпеку.
Інформаційна безпека, безпека інформації та захист інформації пов'язані єдиною метою, розв'язуваними завданнями і послідовною реалізацією їх в умовах необхідності забезпечення економічної безпеки підприємства.
Інформаційні ресурси (інформація) є об'єктами відносин фізичних та юридичних осіб між собою і з державою, складають у сукупності інформаційні ресурси Росії та охороняються законом поряд з іншими видами ресурсів.
Документована інформація є комплексним поняттям, заснованим на її двуедінстве: з одного боку, це інформація (факти, дані, відомості), а з іншого - матеріальний носій. У процесі документування інформація (результат творчої роботи людини) упредметнюється, стає документом. Подібний підхід до документованої інформації є істотним при вирішенні завдань забезпечення безпеки інформації та збереження її носія.
Безпека інформаційних ресурсів (інформації) - захищеність інформації в часі і просторі від будь-яких об'єктивних і суб'єктивних загроз (небезпек), що виникають у звичайних умовах функціонування фірми та умовах екстремальних ситуацій: стихійних лих, інших некерованих подій, пасивних і активних спроб зловмисника створити потенційну або реальну загрозу несанкціонованого доступу до документів, справ, баз даних.
Політика (концепція, програма) інформаційної безпеки фірми практично реалізується комплексом напрямків і методів захисту інформації, що забезпечує її безпеку.
Інформаційна безпека, безпека інформації та захист інформації пов'язані єдиною метою, розв'язуваними завданнями і послідовною реалізацією їх в умовах необхідності забезпечення економічної безпеки підприємства.
Інформаційні ресурси (інформація) є об'єктами відносин фізичних та юридичних осіб між собою і з державою, складають у сукупності інформаційні ресурси Росії та охороняються законом поряд з іншими видами ресурсів.
Документована інформація є комплексним поняттям, заснованим на її двуедінстве: з одного боку, це інформація (факти, дані, відомості), а з іншого - матеріальний носій. У процесі документування інформація (результат творчої роботи людини) упредметнюється, стає документом. Подібний підхід до документованої інформації є істотним при вирішенні завдань забезпечення безпеки інформації та збереження її носія.
Документ може бути не тільки і навіть не стільки управлінським (діловим), що мають в більшості випадків текстову, табличну або анкетну форму. Значно більші обсяги найбільш цінних документів представлені в образотворчій формі: конструкторські документи, картографічні, науково-технічні, документи на фотографічних, магнітних та інших носіях.
По приналежності до того або іншого виду власності інформаційні ресурси можуть бути державними чи недержавними і як елемент складу майна знаходитися у власності громадян, органів державної влади, виконавчих органів, органів місцевого самоврядування, державних установ, організацій і підприємств, громадських об'єднань, підприємницьких структур. Захисту, охороні підлягає будь-який цінний документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві або іншій особі.
Цінна інформація охороняється нормами права (патентного, авторського, суміжних прав та ін), товарним знаком чи захищається включенням її до категорії інформації, що становить таємницю фірми.
Документована інформація обмеженого доступу завжди належить до одного з видів таємниці - державної або недержавної. Відповідно до цього документи поділяються на приватні та несекретні.
Обов'язковою ознакою (критерієм приналежності) секретного документа є наявність у ньому відомостей, що становлять відповідно до законодавства державну таємницю. Несекретні документи, що включають відомості, що відносяться до недержавної таємниці (службової, комерційної або підприємницької, банківської, професійної, виробничої та ін) або містять персональні дані громадян, іменуються конфіденційними.
Конфіденційний (закритий, що захищається) документ-необхідним чином оформлений носій документованої інформації, що містить відомості обмеженого доступу або використання, які становлять інтелектуальну власність юридичної або фізичної особи.
Конфіденційність документів завжди має значний розкид за термінами обмеження вільного доступу до них персоналу фірми (від декількох годин до значного числа років).
Загроза втрати інформації - одиничне або комплексне, реальне або потенційне, активне чи пасивне прояв несприятливих можливостей зовнішніх або внутрішніх джерел загрози створювати критичні ситуації, події, надавати дестабілізуючий вплив на захищає інформацію, документи і бази даних.
Кожна конкретна фірма володіє своїм набором каналів несанкціонованого доступу до інформації, що залежить від безлічі моментів - профілю діяльності, обсягів інформації, що захищається, професійного рівня персоналу, місця розташування будівлі і т. п.
Втрата інформації характеризується двома умовами, а саме інформація переходить: а) безпосередньо до зацікавленій особі - конкуренту, зловмисникові або б) до випадкового, третій особі.
По приналежності до того або іншого виду власності інформаційні ресурси можуть бути державними чи недержавними і як елемент складу майна знаходитися у власності громадян, органів державної влади, виконавчих органів, органів місцевого самоврядування, державних установ, організацій і підприємств, громадських об'єднань, підприємницьких структур. Захисту, охороні підлягає будь-який цінний документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві або іншій особі.
Цінна інформація охороняється нормами права (патентного, авторського, суміжних прав та ін), товарним знаком чи захищається включенням її до категорії інформації, що становить таємницю фірми.
Документована інформація обмеженого доступу завжди належить до одного з видів таємниці - державної або недержавної. Відповідно до цього документи поділяються на приватні та несекретні.
Обов'язковою ознакою (критерієм приналежності) секретного документа є наявність у ньому відомостей, що становлять відповідно до законодавства державну таємницю. Несекретні документи, що включають відомості, що відносяться до недержавної таємниці (службової, комерційної або підприємницької, банківської, професійної, виробничої та ін) або містять персональні дані громадян, іменуються конфіденційними.
Конфіденційний (закритий, що захищається) документ-необхідним чином оформлений носій документованої інформації, що містить відомості обмеженого доступу або використання, які становлять інтелектуальну власність юридичної або фізичної особи.
Конфіденційність документів завжди має значний розкид за термінами обмеження вільного доступу до них персоналу фірми (від декількох годин до значного числа років).
Загроза втрати інформації - одиничне або комплексне, реальне або потенційне, активне чи пасивне прояв несприятливих можливостей зовнішніх або внутрішніх джерел загрози створювати критичні ситуації, події, надавати дестабілізуючий вплив на захищає інформацію, документи і бази даних.
Кожна конкретна фірма володіє своїм набором каналів несанкціонованого доступу до інформації, що залежить від безлічі моментів - профілю діяльності, обсягів інформації, що захищається, професійного рівня персоналу, місця розташування будівлі і т. п.
Втрата інформації характеризується двома умовами, а саме інформація переходить: а) безпосередньо до зацікавленій особі - конкуренту, зловмисникові або б) до випадкового, третій особі.
3 ОРГАНІЗАЦІЯ ІНЖЕНЕРНО-ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
3.1. Загальні положення щодо інженерно-технічного захисту інформації в організаціях
Розглянуті раніше питання створюють теоретичну базу для побудови, модифікації і експлуатації системи захисту інформації.
Будь-яка система створюється під задані вимоги з урахуванням існуючих обмежень. Фактори, що впливають на структуру та функціонування системи, називаються системоутворюючими. До них відносяться:
- Переліки захищаються відомостей, що становлять державну (за тематикою державного замовлення, якщо він виконується організацією) і комерційну таємницю;
- Необхідні рівні безпеки інформації, забезпечення яких не призведе до перевищення збитку над витратами на захист інформації;
- Загрози безпеки інформації:
- Обмеження, які треба враховувати при створенні або модернізації системи захисту інформації;
- Показники, за якими буде оцінюватися ефективність системи захисту.
Структура та алгоритм функціонування системи захисту організації визначаються в керівних, нормативних та методичних документах. До керівним документів відносяться:
- Керівництво (інструкція) із захисту інформації в організації;
- Положення про підрозділ організації, на яке покладаються завдання щодо забезпечення безпеки інформації;
- Інструкції по роботі з грифованих документами;
- Інструкції щодо захисту інформації про конкретних виробах: У різних організаціях ці документи можуть мати різні найменування, що відрізняються від вказаних. Але сутність цих документів залишається незмінною, оскільки необхідність у них об'єктивна.
Порядок захисту інформації в організації визначається відповідним керівництвом (інструкцією). Воно може містити наступні розділи:
- Загальні положення;
- Перелік охоронюваних відомостей;
- Демаскуючі ознаки об'єктів організації;
- Демаскуючі речовини, створювані в організації;
- Оцінки можливостей органів та засобів добування інформації,
організаційні та технічні заходи щодо захисту інформації;
- Порядок планування робіт служби безпеки;
- Порядок взаємодії з державними органами, вирішальними завдання із захисту матеріальної та інтелектуальної власності, державної та комерційної таємниці.
Але в даному керівництві не можна врахувати всіх особливостей захисту інформації в конкретних умовах. У будь-якій організації постійно змінюється ситуація з джерелами і носіями конфіденційної інформації погрозами її безпеки. Наприклад, появі нового товару на ринку передує велика робота, що включає різні етапи і стадії: проведення досліджень, розробка лабораторних і діючих макетів, створення дослідного зразка та його доопрацювання за результатами випробувань, підготовка виробництва (документації, встановлення додаткового обладнання, виготовлення оснащення - специфічних засобів виробництва, необхідних для реалізації технологічних процесів), виготовлення дослідної серії для виявлення попиту на товар, масовий випуск продукції.
На кожному етапі і стадії до роботи підключаються нові люди, розробляються нові документи, створюються вузли і блоки з інформативними для них демаскирующими ознаками. Створенню кожного виробу або самостійного документа супроводжує свій набір інформаційних елементів, їх джерел і носіїв, погроз і каналів витоку інформації, які у різні моменти часу.
Для захисту інформації про виріб на кожному етапі його створення розробляється відповідна інструкція. Інструкція повинна містити необхідні для забезпечення безпеки інформації відомості, в тому числі: загальні відомості про найменування зразка, що захищаються відомості і демаскуючі ознаки, потенційні загрози безпеки інформації, задум і заходи із захисту, порядок контролю (завдання, органи контролю, мають право на перевірку, засоби контролю, допустимі значення контрольованих параметрів, умови і методики, періодичність і види контролю), прізвища осіб. відповідальних за безпеку інформації.
Основним нормативним документом є перелік відомостей, що становлять державну, військову, комерційну або будь-яку іншу таємницю. Перелік відомостей, що містять державну таємницю, грунтується на положеннях закону «Про державну таємницю» [31]. Переліки підлягають захисту відомостей цього закону конкретизуються відомствами стосовно до тематики конкретних організацій. У комерційних структурах, які виконують державні замовлення, переліки поширюються на інформацію, що відноситься до цього замовлення. Переліки відомостей, що становлять комічну таємницю, складаються керівництвом фірми за участю співробітників служби безпеки.
Інші нормативні документи визначають максимально допустимі значення рівнів полів з інформацією і концентрації демаскуючих речовин на кордонах контрольованої зони, які забезпечують необхідний рівень безпеки інформації. Ці норми розробляються
відповідними відомствами, а для комерційних структур, що виконують недержавні замовлення, - фахівцями цих структур.
Робота із захисту інформації в організації проводиться всіма співробітниками, але ступінь участі різних категорій істотно відрізняється. Будь-який співробітник, який підписав зобов'язання про нерозголошення таємниці бере участь у захисті інформації хоча б шляхом виконання керівних документів про захист інформації.
Відповідальність за стан захисту інформації покладається на відповідний підрозділ і осіб служби безпеки. Стосовно до типової структурі служби безпеки комерційної структури інженерно-технічний захист забезпечується групою інженерно-технічного захисту, яка, як варіант, може складатися з старшого інженера (інженера) - керівника групи та інженера (техніка) за спеціальними вимірам.
Основні завдання групи:
- Обстеження виділених приміщень з метою встановлення потенційно можливих каналів витоку конфіденційної інформації через технічні засоби, конструкції будівель та обладнання;
- Виявлення та оцінка ступеня небезпеки технічних каналів витоку інформації;
- Розробка заходів по ліквідації (запобігання витоку) потенційних каналів витоку інформації;
- Організація контролю (у тому числі і інструментального) за ефективністю прийнятих захисних заходів, аналіз результатів контролю і розробка пропозицій щодо підвищення надійності та ефективності заходів захисту;
- Підготовка заявок на придбання технічних засобів захисту інформації, участь у їх встановленні, експлуатації та контролі стану.
Крім того, на групу інженерно-технічного захисту інформації доцільно покласти також технічні питання охорони носіїв інформації.
3.2 Організаційні та технічні заходи з інженерно-технічного захисту інформації
В організаціях робота з інженерно-технічного захисту інформації включає два етапи:
- Побудова чи модернізація системи захисту;
- Підтримка захисту інформації на необхідному рівні.
Побудова системи захисту інформації проводиться у знову створюваних організаціях, в інших - модернізація існуючої.
Побудова (модернізація) системи захисту інформації та підтримки на необхідному рівні її захисту в організації передбачають проведення наступних основних робіт:
- Уточнення переліку захищаються відомостей в організації, визначення джерел та носіїв інформації, виявлення та оцінка загрози її безпеки;
- Визначення заходів щодо захисту інформації, викликаних змінами
цілей і задач захисту, переліку захищаються відомостей, погроз безпеки інформації;
- Контроль ефективності заходів з інженерно-технічного захисту
інформації в організації.
Заходи щодо захисту інформації доцільно розділити на 2 групи: організаційні та технічні. У публікаціях, у тому числі в деяких керівних документах, заходи по захисту ділять на організаційні, організаційно-технічні та технічні. Враховуючи відсутність достатньо чіткої межі між організаційно-технічними та організаційними, організаційно-технічними та технічними заходами, доцільно обмежитися двома групами: організаційними та технічними. При такій класифікації до технічних відносяться заходи, реалізовані шляхом встановлення нових або модернізації використовуваних інженерних і технічних засобів захисту інформації. Основу організаційних заходів інженерно-технічної захисту інформації складають заходи, що визначають порядок використання цих коштів.
Організаційні заходи інженерно-технічного захисту інформації включають, перш за все, заходи щодо ефективного використання технічних засобів регламентації і управління доступом до інформації, що захищається, а також щодо порядку і режимам роботи технічних засобів захисту інформації. Організаційні заходи інженерно-технічного захисту інформації є частиною її організаційного захисту, основу якої складають регламентація і керування доступом.
Регламентація - це встановлення часових, територіальних та режимних обмежень у діяльності співробітників організації та роботі технічних засобів, спрямовані на забезпечення безпеки інформації.
Регламентація передбачає:
- Встановлення меж контрольованих та охоронних зон;
- Визначення рівнів захисту інформації в зонах;
регламентація діяльності співробітників і відвідувачів (розробка
розпорядку дня, правил поведінки співробітників в організації та поза її
і т. д.);
- Визначення режимів роботи технічних засобів, у тому числі збору,
обробки та зберігання інформації, що захищається на ПЕОМ, передачі
документів, порядку складування продукції і т. д.
Управління доступом до інформації включає наступні заходи:
- Ідентифікацію осіб та звернень;
- Перевірку повноважень лип і звернень;
- Реєстрацію звернень до інформації, що захищається;
- Реагування на звернення до інформації.
Ідентифікація користувачів, співробітників, відвідувачів, звернень
до каналів телекомунікацій проводиться з метою їх надійного розпізнавання.
Способи ідентифікації розглянуті вище.
Перевірка повноважень полягає у визначенні прав осіб і звернень по каналах зв'язку на доступ до інформації, що захищається. Для доступу до інформації рівень повноважень звернення не може бути нижче дозволеного. З метою забезпечення контролю над проходженням носіїв із закритою інформацією проводиться реєстрація (протоколювання) звернень до них шляхом запису в картках, журналах, на магнітних носіях.
Реагування на будь-яке звернення до інформації полягає або в дозволі доступу до інформації, або у відмові. Відмова може супроводжуватися включенням сигналізації, оповіщенням служби безпеки або правоохоронних органів, затриманням зловмисника при його спробі несанкціонованого доступу до інформації, що захищається.
Технічні заходи передбачають застосування способів і засобів. розглянутих в даній книзі.
Найважливіше і необхідний напрям робіт із захисту інформації-контроль ефективності захисту. Цей вид діяльності проводиться перш за все силами служби безпеки, а також керівниками структурних підрозділів. Контроль інженерно-технічної зашиті є складовою частиною контролю захисту інформації в організації і полягає, перш за все, у визначенні (вимірі) показників ефективності захисту технічними засобами і порівнянні їх із нормативними.
Застосовують наступні види контролю:
- Попередній;
- Періодичний;
- Постійний.
Попередній контроль проводиться за будь-яких змінах складу, структури та алгоритму функціонування системи захисту інформації, в тому числі:
- Після встановлення нового технічного засобу захисту або зміні організаційних заходів;
- Після проведення профілактичних і ремонтних робіт засобів захисту;
- Запобігання використання підроблених документів та документів особами, яким вони не належать.
- Після усунення виявлених порушень у системі захисту.
Періодичний контроль здійснюється з метою забезпечення систематичного спостереження за рівнем захисту. Він проводиться вибірково (стосовно окремих тем робіт, структурним підрозділам або
всієї організації) за планами, затвердженими керівником організації,
а також вищестоящими органами.
Найбільш часто повинен проводитися періодичний контроль на хімічних підприємствах, так як незначні порушення в технологічному процесі можуть призвести до витоку демаскуючих речовин. Для визначення концентрації демаскуючих речовин регулярно беруться біля підприємства проби повітря, води, грунту, снігу, рослинності.
Періодичність та місця узяття проб визначаються характером виробляв з урахуванням умов можливого розповсюдження демаскуючих речовин, наприклад, троянди вітрів і швидкості повітряних потоків, видів водойм (штучний, озеро, болото, річка та ін), характеру навколишньої місцевості і т. д. Проби повітря рекомендується брати з урахуванням напрямків вітру на висоті приблизно 1.5 м в безпосередній близькості від кордонів території (50-100 м) і в зоні максимальної концентрації демаскуючих речовин, що викидаються в атмосферу через труби. Проби води беруться в місцях зливу у водойми до поверхневому шарі і на глибині 30-50 см з наступним змішуванням. Беруться також проби грунту і пилу на рослинності. З цією метою збирають листя з декількох дерев та кущів на рівні 1.5-2 м від поверхні і не раніше тижня після дощу.
Періодичний (щоденний, щотижневий, щомісячний) контроль повинен проводитися також співробітниками організації в частині джерел інформації, з якими вони працюють.
Загальний (в рамках всієї організації) періодичний контроль проводиться зазвичай 2 рази на рік. Метою його є ретельна перевірка працездатності всіх елементів і системи захисту інформації в цілому.
Постійний контроль здійснюється вибірково силами служби безпеки та залучених співробітників організації з метою об'єктивної оцінки рівня захисту інформації та. перш за все, виявлення слабких місць у системі захисту організації. Крім того, такий контроль чинить психологічний вплив на співробітників організації, змушуючи їх ретельніше виконувати вимоги щодо забезпечення захисту інформації.
Заходи контролю, також як і захисту, представляють сукупність організаційних і технічних заходів, що проводяться з метою перевірки виконання встановлених вимог і норм щодо захисту інформації. Організаційні заходи контролю включають:
- Перевірку виконання співробітниками вимог керівних
документів із захисту інформації;
- Перевірку працездатності засобів охорони та захисту інформації
від спостереження, підслуховування, перехоплення і витоку інформації з
матеріально-речовинним каналу (наявність фіранок, штор, жалюзі на вікнах, чохлів на розроблюваних виробах, стан звукоізоляції, екранів, засобів придушення небезпечних сигналів і зашумлення, ємностей для збору відходів з демаскирующими речовинами і т. д.);
- Контроль за виконанням інструкцій по захисту інформації про розроблюваної продукції;
- Оцінка ефективності застосовуваних способів та засобів захисту
інформації.
Технічні заходи контролю проводяться з використанням технічних
засобів радіо - і електровимірювань, фізичного і хімічного аналізу та забезпечують перевірку:
- Напруженості полів з інформацією на кордонах контрольованої зони;
- Рівнів небезпечних сигналів і перешкод в проводах і екранах кабелів, що виходять за межі контрольованої зони;
- Концентрації демаскуючих речовин у відходах виробництва.
- Ступеня зашумлення генераторами перешкод структурних звуків в огорожах;
Для вимірювання напруженості електричних полів використовуються селективні вольтметри, аналізатори спектру, панорамні приймачі.
Слід також зазначити, що сумлінне і постійне виконання співробітниками організації вимог щодо захисту інформації засновуєте на раціональному поєднанні способів примусу і спонукання.
Примус - спосіб, при якому співробітники організації змушені дотримуватися правил поводження з джерелами і носіями конфіденційної інформації під загрозою матеріальної, адміністративної чи кримінальної відповідальності.
Спонукання передбачає використання для створення співробітники установки на усвідомлене виконання вимог щодо захисту інформації, формування моральних, етичних, психологічних та інших моральних мотивів. Виховання спонукальних мотивів у співробітників організації є одним із завдань служби безпеки, але її зусилля знайдуть благодатний грунт у тих співробітників, які доброзичливо ставляться до керівництва організації і розглядають організацію як довгострокове місце роботи. Створення умов, при яких місце роботи сприймається як другий дім, є, на думку компетентних аналітиків, одним із факторів економічного зростання Японії. Тому ефективність захисту в значній мірі впливає клімат в організації, який формується її керівництвом.
3.1. Загальні положення щодо інженерно-технічного захисту інформації в організаціях
Розглянуті раніше питання створюють теоретичну базу для побудови, модифікації і експлуатації системи захисту інформації.
Будь-яка система створюється під задані вимоги з урахуванням існуючих обмежень. Фактори, що впливають на структуру та функціонування системи, називаються системоутворюючими. До них відносяться:
- Переліки захищаються відомостей, що становлять державну (за тематикою державного замовлення, якщо він виконується організацією) і комерційну таємницю;
- Необхідні рівні безпеки інформації, забезпечення яких не призведе до перевищення збитку над витратами на захист інформації;
- Загрози безпеки інформації:
- Обмеження, які треба враховувати при створенні або модернізації системи захисту інформації;
- Показники, за якими буде оцінюватися ефективність системи захисту.
Структура та алгоритм функціонування системи захисту організації визначаються в керівних, нормативних та методичних документах. До керівним документів відносяться:
- Керівництво (інструкція) із захисту інформації в організації;
- Положення про підрозділ організації, на яке покладаються завдання щодо забезпечення безпеки інформації;
- Інструкції по роботі з грифованих документами;
- Інструкції щодо захисту інформації про конкретних виробах: У різних організаціях ці документи можуть мати різні найменування, що відрізняються від вказаних. Але сутність цих документів залишається незмінною, оскільки необхідність у них об'єктивна.
Порядок захисту інформації в організації визначається відповідним керівництвом (інструкцією). Воно може містити наступні розділи:
- Загальні положення;
- Перелік охоронюваних відомостей;
- Демаскуючі ознаки об'єктів організації;
- Демаскуючі речовини, створювані в організації;
- Оцінки можливостей органів та засобів добування інформації,
організаційні та технічні заходи щодо захисту інформації;
- Порядок планування робіт служби безпеки;
- Порядок взаємодії з державними органами, вирішальними завдання із захисту матеріальної та інтелектуальної власності, державної та комерційної таємниці.
Але в даному керівництві не можна врахувати всіх особливостей захисту інформації в конкретних умовах. У будь-якій організації постійно змінюється ситуація з джерелами і носіями конфіденційної інформації погрозами її безпеки. Наприклад, появі нового товару на ринку передує велика робота, що включає різні етапи і стадії: проведення досліджень, розробка лабораторних і діючих макетів, створення дослідного зразка та його доопрацювання за результатами випробувань, підготовка виробництва (документації, встановлення додаткового обладнання, виготовлення оснащення - специфічних засобів виробництва, необхідних для реалізації технологічних процесів), виготовлення дослідної серії для виявлення попиту на товар, масовий випуск продукції.
На кожному етапі і стадії до роботи підключаються нові люди, розробляються нові документи, створюються вузли і блоки з інформативними для них демаскирующими ознаками. Створенню кожного виробу або самостійного документа супроводжує свій набір інформаційних елементів, їх джерел і носіїв, погроз і каналів витоку інформації, які у різні моменти часу.
Для захисту інформації про виріб на кожному етапі його створення розробляється відповідна інструкція. Інструкція повинна містити необхідні для забезпечення безпеки інформації відомості, в тому числі: загальні відомості про найменування зразка, що захищаються відомості і демаскуючі ознаки, потенційні загрози безпеки інформації, задум і заходи із захисту, порядок контролю (завдання, органи контролю, мають право на перевірку, засоби контролю, допустимі значення контрольованих параметрів, умови і методики, періодичність і види контролю), прізвища осіб. відповідальних за безпеку інформації.
Основним нормативним документом є перелік відомостей, що становлять державну, військову, комерційну або будь-яку іншу таємницю. Перелік відомостей, що містять державну таємницю, грунтується на положеннях закону «Про державну таємницю» [31]. Переліки підлягають захисту відомостей цього закону конкретизуються відомствами стосовно до тематики конкретних організацій. У комерційних структурах, які виконують державні замовлення, переліки поширюються на інформацію, що відноситься до цього замовлення. Переліки відомостей, що становлять комічну таємницю, складаються керівництвом фірми за участю співробітників служби безпеки.
Інші нормативні документи визначають максимально допустимі значення рівнів полів з інформацією і концентрації демаскуючих речовин на кордонах контрольованої зони, які забезпечують необхідний рівень безпеки інформації. Ці норми розробляються
відповідними відомствами, а для комерційних структур, що виконують недержавні замовлення, - фахівцями цих структур.
Робота із захисту інформації в організації проводиться всіма співробітниками, але ступінь участі різних категорій істотно відрізняється. Будь-який співробітник, який підписав зобов'язання про нерозголошення таємниці бере участь у захисті інформації хоча б шляхом виконання керівних документів про захист інформації.
Відповідальність за стан захисту інформації покладається на відповідний підрозділ і осіб служби безпеки. Стосовно до типової структурі служби безпеки комерційної структури інженерно-технічний захист забезпечується групою інженерно-технічного захисту, яка, як варіант, може складатися з старшого інженера (інженера) - керівника групи та інженера (техніка) за спеціальними вимірам.
Основні завдання групи:
- Обстеження виділених приміщень з метою встановлення потенційно можливих каналів витоку конфіденційної інформації через технічні засоби, конструкції будівель та обладнання;
- Виявлення та оцінка ступеня небезпеки технічних каналів витоку інформації;
- Розробка заходів по ліквідації (запобігання витоку) потенційних каналів витоку інформації;
- Організація контролю (у тому числі і інструментального) за ефективністю прийнятих захисних заходів, аналіз результатів контролю і розробка пропозицій щодо підвищення надійності та ефективності заходів захисту;
- Підготовка заявок на придбання технічних засобів захисту інформації, участь у їх встановленні, експлуатації та контролі стану.
Крім того, на групу інженерно-технічного захисту інформації доцільно покласти також технічні питання охорони носіїв інформації.
3.2 Організаційні та технічні заходи з інженерно-технічного захисту інформації
В організаціях робота з інженерно-технічного захисту інформації включає два етапи:
- Побудова чи модернізація системи захисту;
- Підтримка захисту інформації на необхідному рівні.
Побудова системи захисту інформації проводиться у знову створюваних організаціях, в інших - модернізація існуючої.
Побудова (модернізація) системи захисту інформації та підтримки на необхідному рівні її захисту в організації передбачають проведення наступних основних робіт:
- Уточнення переліку захищаються відомостей в організації, визначення джерел та носіїв інформації, виявлення та оцінка загрози її безпеки;
- Визначення заходів щодо захисту інформації, викликаних змінами
цілей і задач захисту, переліку захищаються відомостей, погроз безпеки інформації;
- Контроль ефективності заходів з інженерно-технічного захисту
інформації в організації.
Заходи щодо захисту інформації доцільно розділити на 2 групи: організаційні та технічні. У публікаціях, у тому числі в деяких керівних документах, заходи по захисту ділять на організаційні, організаційно-технічні та технічні. Враховуючи відсутність достатньо чіткої межі між організаційно-технічними та організаційними, організаційно-технічними та технічними заходами, доцільно обмежитися двома групами: організаційними та технічними. При такій класифікації до технічних відносяться заходи, реалізовані шляхом встановлення нових або модернізації використовуваних інженерних і технічних засобів захисту інформації. Основу організаційних заходів інженерно-технічної захисту інформації складають заходи, що визначають порядок використання цих коштів.
Організаційні заходи інженерно-технічного захисту інформації включають, перш за все, заходи щодо ефективного використання технічних засобів регламентації і управління доступом до інформації, що захищається, а також щодо порядку і режимам роботи технічних засобів захисту інформації. Організаційні заходи інженерно-технічного захисту інформації є частиною її організаційного захисту, основу якої складають регламентація і керування доступом.
Регламентація - це встановлення часових, територіальних та режимних обмежень у діяльності співробітників організації та роботі технічних засобів, спрямовані на забезпечення безпеки інформації.
Регламентація передбачає:
- Встановлення меж контрольованих та охоронних зон;
- Визначення рівнів захисту інформації в зонах;
регламентація діяльності співробітників і відвідувачів (розробка
розпорядку дня, правил поведінки співробітників в організації та поза її
і т. д.);
- Визначення режимів роботи технічних засобів, у тому числі збору,
обробки та зберігання інформації, що захищається на ПЕОМ, передачі
документів, порядку складування продукції і т. д.
Управління доступом до інформації включає наступні заходи:
- Ідентифікацію осіб та звернень;
- Перевірку повноважень лип і звернень;
- Реєстрацію звернень до інформації, що захищається;
- Реагування на звернення до інформації.
Ідентифікація користувачів, співробітників, відвідувачів, звернень
до каналів телекомунікацій проводиться з метою їх надійного розпізнавання.
Способи ідентифікації розглянуті вище.
Перевірка повноважень полягає у визначенні прав осіб і звернень по каналах зв'язку на доступ до інформації, що захищається. Для доступу до інформації рівень повноважень звернення не може бути нижче дозволеного. З метою забезпечення контролю над проходженням носіїв із закритою інформацією проводиться реєстрація (протоколювання) звернень до них шляхом запису в картках, журналах, на магнітних носіях.
Реагування на будь-яке звернення до інформації полягає або в дозволі доступу до інформації, або у відмові. Відмова може супроводжуватися включенням сигналізації, оповіщенням служби безпеки або правоохоронних органів, затриманням зловмисника при його спробі несанкціонованого доступу до інформації, що захищається.
Технічні заходи передбачають застосування способів і засобів. розглянутих в даній книзі.
Найважливіше і необхідний напрям робіт із захисту інформації-контроль ефективності захисту. Цей вид діяльності проводиться перш за все силами служби безпеки, а також керівниками структурних підрозділів. Контроль інженерно-технічної зашиті є складовою частиною контролю захисту інформації в організації і полягає, перш за все, у визначенні (вимірі) показників ефективності захисту технічними засобами і порівнянні їх із нормативними.
Застосовують наступні види контролю:
- Попередній;
- Періодичний;
- Постійний.
Попередній контроль проводиться за будь-яких змінах складу, структури та алгоритму функціонування системи захисту інформації, в тому числі:
- Після встановлення нового технічного засобу захисту або зміні організаційних заходів;
- Після проведення профілактичних і ремонтних робіт засобів захисту;
- Запобігання використання підроблених документів та документів особами, яким вони не належать.
- Після усунення виявлених порушень у системі захисту.
Періодичний контроль здійснюється з метою забезпечення систематичного спостереження за рівнем захисту. Він проводиться вибірково (стосовно окремих тем робіт, структурним підрозділам або
всієї організації) за планами, затвердженими керівником організації,
а також вищестоящими органами.
Найбільш часто повинен проводитися періодичний контроль на хімічних підприємствах, так як незначні порушення в технологічному процесі можуть призвести до витоку демаскуючих речовин. Для визначення концентрації демаскуючих речовин регулярно беруться біля підприємства проби повітря, води, грунту, снігу, рослинності.
Періодичність та місця узяття проб визначаються характером виробляв з урахуванням умов можливого розповсюдження демаскуючих речовин, наприклад, троянди вітрів і швидкості повітряних потоків, видів водойм (штучний, озеро, болото, річка та ін), характеру навколишньої місцевості і т. д. Проби повітря рекомендується брати з урахуванням напрямків вітру на висоті приблизно 1.5 м в безпосередній близькості від кордонів території (50-100 м) і в зоні максимальної концентрації демаскуючих речовин, що викидаються в атмосферу через труби. Проби води беруться в місцях зливу у водойми до поверхневому шарі і на глибині 30-50 см з наступним змішуванням. Беруться також проби грунту і пилу на рослинності. З цією метою збирають листя з декількох дерев та кущів на рівні 1.5-2 м від поверхні і не раніше тижня після дощу.
Періодичний (щоденний, щотижневий, щомісячний) контроль повинен проводитися також співробітниками організації в частині джерел інформації, з якими вони працюють.
Загальний (в рамках всієї організації) періодичний контроль проводиться зазвичай 2 рази на рік. Метою його є ретельна перевірка працездатності всіх елементів і системи захисту інформації в цілому.
Постійний контроль здійснюється вибірково силами служби безпеки та залучених співробітників організації з метою об'єктивної оцінки рівня захисту інформації та. перш за все, виявлення слабких місць у системі захисту організації. Крім того, такий контроль чинить психологічний вплив на співробітників організації, змушуючи їх ретельніше виконувати вимоги щодо забезпечення захисту інформації.
Заходи контролю, також як і захисту, представляють сукупність організаційних і технічних заходів, що проводяться з метою перевірки виконання встановлених вимог і норм щодо захисту інформації. Організаційні заходи контролю включають:
- Перевірку виконання співробітниками вимог керівних
документів із захисту інформації;
- Перевірку працездатності засобів охорони та захисту інформації
від спостереження, підслуховування, перехоплення і витоку інформації з
матеріально-речовинним каналу (наявність фіранок, штор, жалюзі на вікнах, чохлів на розроблюваних виробах, стан звукоізоляції, екранів, засобів придушення небезпечних сигналів і зашумлення, ємностей для збору відходів з демаскирующими речовинами і т. д.);
- Контроль за виконанням інструкцій по захисту інформації про розроблюваної продукції;
- Оцінка ефективності застосовуваних способів та засобів захисту
інформації.
Технічні заходи контролю проводяться з використанням технічних
засобів радіо - і електровимірювань, фізичного і хімічного аналізу та забезпечують перевірку:
- Напруженості полів з інформацією на кордонах контрольованої зони;
- Рівнів небезпечних сигналів і перешкод в проводах і екранах кабелів, що виходять за межі контрольованої зони;
- Концентрації демаскуючих речовин у відходах виробництва.
- Ступеня зашумлення генераторами перешкод структурних звуків в огорожах;
Для вимірювання напруженості електричних полів використовуються селективні вольтметри, аналізатори спектру, панорамні приймачі.
Слід також зазначити, що сумлінне і постійне виконання співробітниками організації вимог щодо захисту інформації засновуєте на раціональному поєднанні способів примусу і спонукання.
Примус - спосіб, при якому співробітники організації змушені дотримуватися правил поводження з джерелами і носіями конфіденційної інформації під загрозою матеріальної, адміністративної чи кримінальної відповідальності.
Спонукання передбачає використання для створення співробітники установки на усвідомлене виконання вимог щодо захисту інформації, формування моральних, етичних, психологічних та інших моральних мотивів. Виховання спонукальних мотивів у співробітників організації є одним із завдань служби безпеки, але її зусилля знайдуть благодатний грунт у тих співробітників, які доброзичливо ставляться до керівництва організації і розглядають організацію як довгострокове місце роботи. Створення умов, при яких місце роботи сприймається як другий дім, є, на думку компетентних аналітиків, одним із факторів економічного зростання Японії. Тому ефективність захисту в значній мірі впливає клімат в організації, який формується її керівництвом.
Висновки по розділу
Будь-яка система створюється під задані вимоги з урахуванням існуючих обмежень. Фактори, що впливають на структуру та функціонування системи, називаються системоутворюючими.
Порядок захисту інформації в організації визначається відповідним керівництвом (інструкцією).
Для захисту інформації про виріб на кожному етапі його створення розробляється відповідна інструкція. Інструкція повинна містити необхідні для забезпечення безпеки інформації відомості, в тому числі: загальні відомості про найменування зразка, що захищаються відомості і демаскуючі ознаки, потенційні загрози безпеки інформації, задум і заходи із захисту, порядок контролю (завдання, органи контролю, мають право на перевірку, засоби контролю, допустимі значення контрольованих параметрів, умови і методики, періодичність і види контролю), прізвища осіб. відповідальних за безпеку інформації.
Відповідальність за стан захисту інформації покладається на відповідний підрозділ і осіб служби безпеки.
Регламентація - це встановлення часових, територіальних та режимних обмежень у діяльності співробітників організації та роботі технічних засобів, спрямовані на забезпечення безпеки інформації.
Реагування на будь-яке звернення до інформації полягає або в дозволі доступу до інформації, або у відмові. Відмова може супроводжуватися включенням сигналізації, оповіщенням служби безпеки або правоохоронних органів, затриманням зловмисника при його спробі несанкціонованого доступу до інформації, що захищається.
Періодичний (щоденний, щотижневий, щомісячний) контроль повинен проводитися також співробітниками організації в частині джерел інформації, з якими вони працюють.
Будь-яка система створюється під задані вимоги з урахуванням існуючих обмежень. Фактори, що впливають на структуру та функціонування системи, називаються системоутворюючими.
Порядок захисту інформації в організації визначається відповідним керівництвом (інструкцією).
Для захисту інформації про виріб на кожному етапі його створення розробляється відповідна інструкція. Інструкція повинна містити необхідні для забезпечення безпеки інформації відомості, в тому числі: загальні відомості про найменування зразка, що захищаються відомості і демаскуючі ознаки, потенційні загрози безпеки інформації, задум і заходи із захисту, порядок контролю (завдання, органи контролю, мають право на перевірку, засоби контролю, допустимі значення контрольованих параметрів, умови і методики, періодичність і види контролю), прізвища осіб. відповідальних за безпеку інформації.
Відповідальність за стан захисту інформації покладається на відповідний підрозділ і осіб служби безпеки.
Регламентація - це встановлення часових, територіальних та режимних обмежень у діяльності співробітників організації та роботі технічних засобів, спрямовані на забезпечення безпеки інформації.
Реагування на будь-яке звернення до інформації полягає або в дозволі доступу до інформації, або у відмові. Відмова може супроводжуватися включенням сигналізації, оповіщенням служби безпеки або правоохоронних органів, затриманням зловмисника при його спробі несанкціонованого доступу до інформації, що захищається.
Періодичний (щоденний, щотижневий, щомісячний) контроль повинен проводитися також співробітниками організації в частині джерел інформації, з якими вони працюють.
Висновок
Підводячи підсумки, хотілося б відзначити, що організація захисту інформації в організації, на даному етапі має досить сильну нормативно-правову базу, в якій враховується можливість припинення більшості каналів проникнення зловмисників, регламентуються заходи по організації системи захисту на підприємстві.
У цій роботі показано як здійснюється організація офісної діяльності, що являє собою організація і з яких елементів вона складається.
Основні напрямки забезпечення безпеки інформаційних ресурсів, розписані в даній роботі, дозволяють побачити, що слід розуміти під конфіденційною інформацією, які організаційні і технічні заходи слід вжити начальнику служби безпеки, щоб мінімізувати загрозу цілісності і конфіденційності інформації, що циркулює в організації. Адже як зазначалося у вступі-ніяка, навіть найдосконаліша в організаційному плані і чудово оснащена технічно система захисту інформації не може змагатися з винахідливістю і хитрістю людини, який задумав вкрасти або знищити цінну інформацію.
Питання захисту інформації, описані в цій роботі, розглядаються в широкому діапазоні сучасних проблем і зачіпають організаційні та технологічні сфери захисту як документованої інформації (на паперових і технічних носіях), що циркулює в традиційному або електронному документообігу, так і недокументовані інформації.
Підводячи підсумки, хотілося б відзначити, що організація захисту інформації в організації, на даному етапі має досить сильну нормативно-правову базу, в якій враховується можливість припинення більшості каналів проникнення зловмисників, регламентуються заходи по організації системи захисту на підприємстві.
У цій роботі показано як здійснюється організація офісної діяльності, що являє собою організація і з яких елементів вона складається.
Основні напрямки забезпечення безпеки інформаційних ресурсів, розписані в даній роботі, дозволяють побачити, що слід розуміти під конфіденційною інформацією, які організаційні і технічні заходи слід вжити начальнику служби безпеки, щоб мінімізувати загрозу цілісності і конфіденційності інформації, що циркулює в організації. Адже як зазначалося у вступі-ніяка, навіть найдосконаліша в організаційному плані і чудово оснащена технічно система захисту інформації не може змагатися з винахідливістю і хитрістю людини, який задумав вкрасти або знищити цінну інформацію.
Питання захисту інформації, описані в цій роботі, розглядаються в широкому діапазоні сучасних проблем і зачіпають організаційні та технологічні сфери захисту як документованої інформації (на паперових і технічних носіях), що циркулює в традиційному або електронному документообігу, так і недокументовані інформації.
Список використаної літератури
1) Приріст М. Г. Анатомія людини. - С.-П. «МЕДИЦИНА», 1994.
2) Теорія управління соціалістичним виробництвом: навч. / Під ред. О. В. Козлової. М.: Економіка, 1979 ..
3) Афанасьєв В. Г. Людина в управлінні суспільством. М.: Політвидав, 1977.
4) Торокін А.А. Основи інженерно-технічного захисту інформації. - М.: Видавництво «Ось-89» .1998
1) Приріст М. Г. Анатомія людини. - С.-П. «МЕДИЦИНА», 1994.
2) Теорія управління соціалістичним виробництвом: навч. / Під ред. О. В. Козлової. М.: Економіка, 1979 ..
3) Афанасьєв В. Г. Людина в управлінні суспільством. М.: Політвидав, 1977.
4) Торокін А.А. Основи інженерно-технічного захисту інформації. - М.: Видавництво «Ось-89» .1998