Безопасность информационных систем, жизнедеятельности в офисе

Установив камеры видеонаблюдения в коридорах офиса, в местах курения и т. п., можно всегда быстро определить, где находится тот или иной сотрудник, и чем он занимается в данный момент времени.

Кроме того, наличие видеокамер в офисе просто дисциплинирует сотрудников и дает возможность руководителям контролировать бизнес-процессы и ситуации.

Эргономические требования к рабочему месту

Рабочее место и взаимное расположение всех его элементов должно соответство­вать антропометрическим, физическим и психологическим требованиям. Большое зна­чение имеет также характер работы. В частности, при организации рабочего места  должны быть соблюдены следующие основные условия: оптимальное размеще­ние оборудования, входящего в состав рабочего места и достаточное рабочее простран­ство, позволяющее осуществлять все необходимые движения и перемещения.

Эргономическими аспектами проектирования рабочих мест, в частности, являются: высота рабочей поверхности, размеры пространства для ног,  тре­бования к расположению документов на рабочем месте  (наличие и размеры под­ставки для документов, возможность различного размещения документов, расстояние от глаз пользователя до экрана, документа, клавиатуры и т.д.), характеристики рабочего кресла, требования к поверхности рабочего стола, регулируемость элемен­тов рабочего места.

Главными элементами рабочего места являются стол и кресло. Осно­в­ным рабочим положением является положение сидя.

Рабочая поза сидя вызывает минимальное утомление. Рациональная планировка рабочего места предусматривает четкий порядок и постоянство размеще­ния предметов, средств труда и документации. То, что требуется для выполнения ра­бот ча­ще, расположено в зоне легкой досягаемости рабочего пространства.

Моторное поле - пространство рабочего места, в котором могут осуществляться дви­гательные действия человека.

Максимальная зона досягаемости рук - это часть моторного поля рабочего места, ограниченного дугами, описываемыми максимально вытянутыми руками при движе­нии их в плечевом суставе.

Оптимальная зона - часть моторного поля рабочего места, ограниченного дугами, описываемыми предплечьями при движении в локтевых суставах с опорой в точке локтя и с относительно неподвижным плечом.

1.2 Безопасность информации

Вопросы информационной безопасности играют сегодня огромную роль в сфере высоких технологий, где именно информация (особенно цифровая) становится одновременно «продуктом и сырьём».

Информационный продукт производят, обрабатывают, продают и, к сожалению, зачастую воруют. Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Если говорить о безопасности информации, сохраняющейся на "традиционных" носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

До последнего времени проблема обеспечения безопасности компьютерной информации в нашей стране не только не выдвигалась на передний край, но фактически полностью игнорировалась. Считалось, что путем тотальной секретности, различными ограничениями в сфере передачи и распространения информации, можно решить проблему обеспечения информационной безопасности.

Существуют, так называемые, правовые меры обеспечения информационной безопасности.  К ним относится регламентация законом и нормативными актами действий с информацией и оборудованием, и наступление ответственности за нарушение правильности таких действий.

На сегодняшний день, большинство компаний в Казахстане увеличивают свои расходы на обеспечение безопасности информации.

Корпоративные секреты могут быть украдены конкурентами. Этому очень трудно противостоять, т.к. физически пропажу трудно обнаружить.

Системы безопасности появились, чтобы защитить её от шпионов и от других взломов.

Информационная безопасность - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Под информационной безопасностью Республики Казахстан понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Факторы, определяющие технологическую безопасность сложных информационных систем:

                 показатели, характеризующие технологическую безопасность информационных систем;

                 требования, предъявляемые к архитектуре ПС и БД для обеспечения безопасности ИС;

                 ресурсы, необходимые для обеспечения технологической безопасности ИС;

                 внутренние и внешние дестабилизирующие факторы, влияющие на безопасность функционирования программных средств и баз данных;

                 методы и средства предотвращения и снижения влияния угроз безопасности ИС со стороны дефектов программ и данных;

                 оперативные методы и средства повышения технологической безопасности функционирования ПС и БД путем введения в ИС временной, программной и информационной избыточности;

                 методы и средства определения реальной технологической безопасности функционирования критических ИС.

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

По способам воздействия на объекты информационной безопасности угрозы подлежат следующей классификации: информационные, программные, физические, радиоэлектронные и организационно-правовые.

К информационным угрозам относятся:

                 несанкционированный доступ к информационным ресурсам;

                 незаконное копирование данных в информационных системах;

                 хищение информации из  архивов и баз данных;

                 нарушение технологии обработки информации;

                 противозаконный сбор и использование информации;

                 использование информационного оружия.

К физическим угрозам относятся:

                 уничтожение или разрушение средств обработки информации и связи;

                 хищение носителей информации;

                 хищение программных или аппаратных ключей и средств криптографической защиты данных;

                 воздействие на персонал;

К радиоэлектронным угрозам относятся:

                 внедрение электронных устройств перехвата информации в технические средства и помещения;

                 перехват, расшифровка, подмена и уничтожение информации в каналах связи.

К организационно-правовым угрозам относятся:

                 закупки несовершенных или устаревших информационных технологий и средств информатизации;

                 нарушение требований законодательства и задержка в принятии необходимых нормативно-правовых решений в информационной сфере.

К мерам противодействия указанным угрозам необходимо отнести:

                 постановку и проведение научных исследований, направленных на получение методик исследования программного обеспечения и выявления закладных устройств;

                 развитие отечественной индустрии в области создания и производства оборудования элементов телекоммуникационных систем;

                 минимизацию числа иностранных фирм - поставщиков;

                 координацию действий по проверке надежности указанных фирм;

                 уменьшению номенклатуры поставляемого оборудования;

                 переходу от поставок оборудования к поставкам комплектующих на элементарном уровне;

                 установлению приоритета в использовании отечественных средств защиты этих систем.

Система защиты информации.

ISO 17799: Code of Practice for Information Security Management

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799.

ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на следующие 10 разделов:

                 Политика безопасности;

                 Организация защиты;

                 Классификация ресурсов и их контроль;

                 Безопасность персонала;

                 Физическая безопасность;

                 Администрирование компьютерных систем и вычислительных сетей;

                 Управление доступом;

                 Разработка и сопровождение информационных систем;

                 Планирование бесперебойной работы организации;

                 Контроль выполнения требований политики безопасности.

В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира.

Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации.

                 Ключевыми являются следующие средства контроля:

                 Документ о политике информационной безопасности;

                 Распределение обязанностей по обеспечению информационной безопасности;

                 Обучение и подготовка персонала к поддержанию режима информационной безопасности;

                 Уведомление о случаях нарушения защиты;

                 Средства защиты от вирусов;

                 Планирование бесперебойной работы организации;

                 Контроль над копированием программного обеспечения, защищенного законом об авторском праве;

                 Защита документации организации;

                 Защита данных;

                 Контроль соответствия политике безопасности.

Таковы основные угрозы, на долю которых приходится львиная доля урона, наносимого информационным системам. Самыми частыми и самыми опасными, с точки зрения размера ущерба, являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы. От вирусов и других факторов ущерба оказывается меньше.

1.3 Безопасность личности.

На сегодняшний день обеспечение безопасности личности является одним из важнейших элементов, которую должна предоставить компания своим сотрудникам. Компания должна обеспечить сотрудников безопасным рабочим местом и отвечать за последствия от нанесенного вреда во время рабочего процесса.

В процессе трудовой деятельности на сотрудника офиса могут воздействовать опасные (вызывающие травмы) и вредные (вызывающие заболевания) производственные факторы.

Опасные и вредные производственные факторы по ГОСТ ССБТ (Система стандартов Безопасности труда) Республики Казахстан подразделяются на четыре группы: физические, химические, биологические и психофизиологические.

К вредным и опасным физическим факторам применительно к труду в офисных помещениях относятся:

- повышенная запыленность и загазованность воздуха рабочей зоны;

- повышенная температура поверхностей оргтехники;

- повышенная или пониженная температура воздуха рабочей зоны;

- повышенный уровень статического электричества;

- повышенный уровень электромагнитных излучений;

- повышенная напряженность магнитного поля;

- отсутствие или недостаток естественного света;

- недостаточная освещенность рабочей зоны;