Размещено на http://www.allbest.ru/

1

Автономная некоммерческая организация высшего образования

«ПЕРМСКИЙ ИНСТИТУТ ЭКОНОМИКИ И ФИНАНСОВ»

Кафедра рекламы, связей с общественностью и гуманитарных дисциплин

КУРСОВАЯ РАБОТА

по дисциплине: Теория и практика массовой информации

Тема: Информационная безопасность и развитие новейших мультимедиа

Пермь 2014 г.

Содержание

Введение

Глава 1. Теоретические основы информационной безопасности

1.1 Понятие информационной безопасности

1.2 Источники угроз информационным ресурсам

Глава 2. Информационная безопасность и мультимедиа в современных условиях

2.1 Проблемы информационной безопасности в современных условиях

2.2 Особенности развития средств мультимедиа

Заключение

Библиографический список

Введение

Актуальность темы исследования обусловлена тем, что в настоящее время кризисные процессы, происходящие в экономике России, сделали более контрастными давно существовавшие проблемы, позволили по-новому оценить приоритеты и пути решения этих проблем. Всего год назад многие организации бизнес-сообщества стремились к повышению капитализации и доходности. В современных условиях многие из них борются за само право на дальнейшее существование. Значительно в большей степени, чем прежде, они чувствительны к финансовым потерям.

В вопросе о продолжительности стагнации российской экономики мнения экспертов расходятся, но в том, что она имеет место, согласны все. Например, глава Сберегательного банка Российской Федерации, экс-министр экономического развития и торговли Герман Греф считает, что Россия должна готовиться как минимум к трехлетней стагнации экономики.

Сегодня от компании требуется больше мобильности в принятии решений, больше скорости, больше гибкости. Выполнение этих условий, эффективный менеджмент в целом невозможны без внедрения современных средств вычислительной техники.

Вопросы информационной безопасности находятся под постоянным контролем и регулированием, как со стороны государства, так и со стороны структур управления предприятий. Нормативно-методологической базой для решения вопросов безопасности в информационных системах являются в первую очередь требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, в том числе и персональных данных граждан, всеми субъектами информационных отношений на всей территории Российской Федерации. Эти требования определяются в законах, детализируются и уточняются в руководящих документах Федеральной службы по техническому и экспортному контролю Российской Федерации, ФСБ России и других государственных учреждений, имеющих отношение к обеспечению безопасности информации и безопасному использованию информационных технологий. Они определяют мероприятия и виды технических и программных средств базового уровня безопасности, обязательного для безоговорочного выполнения всеми субъектами информационных отношений, которые используют информационные системы, обрабатывающие соответствующие виды информации ограниченного доступа.

Ответственность за несоблюдение указанных требований несет, прежде всего, руководитель распределенной структуры. Она определена в таких российских законодательных актах, как Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Уголовный кодекс Российской Федерации, Федеральные законы "О безопасности", "О государственной тайне", "Об информации, информатизации и защите информации", "О коммерческой тайне", "О связи", "Об участии в международном информационном обмене", "О техническом регулировании", "Об электронной цифровой подписи", "Об информации, информационных технологиях и о защите информации", указы Президента Российской Федерации, постановления Правительства Российской Федерации, Доктрина информационной безопасности Российской Федерации, международные договоры и соглашения, заключенные или признанные Российской Федерацией, а также в других нормативных правовых актах.

Целью настоящей работы является исследование информационной безопасности и развития новейших мультимедиа.

Названной целью обусловлены следующие главные задачи работы:

• 1. Определить понятие информационной безопасности.
• 2. Исследовать источники угроз информационным ресурсам.
• 3. Выявить проблемы информационной безопасности в современных условиях.
• 4. Рассмотреть особенности развития средств мультимедиа.

Объектом исследования являются общественные отношения в сфере информационной безопасности и развития мультимедиа.

Предметом исследования являются нормативно-правовые акты РФ, учебные пособия и монографии, раскрывающие понятие информационной безопасности и развитие средств мультимедиа в современной России.

В качестве информационной базы при работе над курсовой работой автору служили публикации в периодической печати и в сети Интернет. В работе были использованы работы таких ученых как Р.Р. Галямов, Г.В. Емельянов, Р. Идов, Е.С. Калина, В.Н. Лопатин, В.Д. Могилевский, А.А. Стрельцов.

Работа состоит из введения, двух глав, объединяющих четыре параграфа и заключения.

Глава 1. Теоретические основы информационной безопасности

1.1 Понятие информационной безопасности

безопасность мультимедиа программный

В последнее время в научной литературе возросло количество исследований, посвященных проблемам безопасности. К настоящему моменту уже можно говорить о появлении теории безопасности - науки о предвидении режимов функционирования системы, угрожающих ее существованию, и мерах по их предотвращению.

Исходя из анализа употребления понятия "безопасность" в действующем российском законодательстве, международно-правовых актах и научной литературе, можно говорить о выделении таких видов безопасности, как государственная безопасность, международная безопасность, экономическая безопасность, общественная безопасность, оборонная безопасность, информационная безопасность, экологическая безопасность, национальная безопасность, военная безопасность, энергетическая безопасность, безопасность труда, безопасность дорожного движения, ядерная и радиационная безопасность. Также говорится о безопасности малого города и региональной безопасности.

Развитие бизнеса, удержание и расширение доли на рынке, в том числе в сфере массовых коммуникаций, все в большей степени связываются с использованием новых информационных технологий. Все больший объем информации создается, обращается, обрабатывается и накапливается исключительно в электронном виде. Это относится практически ко всей информации и деятельности журналистского сообщества.

Это обусловлено тем, что использовать, обрабатывать и сохранять информацию в электронном виде не только удобнее, надежнее, но и выгоднее. Хотя иногда и приходится слышать, что "без компьютеров было лучше", но это воспринимается уже только как шутка.

"Электронное правительство" - не дань моде, а насущная необходимость, условие успешного развития всех сторон социально-экономической жизни в нашей стране. Остаться в стороне от происходящих в сфере мировой информатизации процессов нам уже просто не удастся. Но с другой стороны, перевод информационных потоков в электронный вид требует и новых подходов к защите информации.

Несанкционированное копирование и хищение значительных объемов представляющих интерес данных в электронном виде в отсутствие специальных защитных систем осуществить тоже намного проще. Таким образом, эффективность внедряемых вычислительных информационных систем, целесообразность затрат на их создание во многом зависят от уровня безопасности, который они обеспечивают.

Рассматривая рыночную стоимость предприятий, современные ученые пришли к выводу о том, что важнейшими ее составляющими являются: бренд, человеческий капитал и применяемые технологии.

В этом контексте, оценивая роль и место подразделений информационной безопасности в организационной структуре, можно отметить, что данные подразделения своим трудом придают особое свойство предлагаемому организацией на рынке продукту - безопасность. Они непосредственно участвуют в формировании бренда, способствуют повышению квалификации персонала.

В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В научной литературе в составе «информационной сферы общества» выделяют:

- субъекты информационной сферы;

- общественные отношения в информационной сфере;

- информационную инфраструктуру общества;

- информацию.

В соответствии с Законом о безопасности и содержанием Концепции национальной безопасности РФ под информационной безопасностью будем понимать состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере.

Итак, создавая в организации информационные системы, в которых обрабатывается и хранится информация, мы входим, не всегда при этом шагая "в ногу" и не всегда достаточно хорошо подготовленными, но все-таки входим в виртуальную реальность современного бизнеса. Делаем это не для забавы, а с целью решения конкретных жизненно важных задач. Успех во многом зависит от степени готовности к тем реалиям, которые ожидают нас в новом пространстве.

1.2 Источники угроз информационным ресурсам

Прежде всего, необходимо ясно осознать, что в информационном пространстве уже сформировались основные группы участников, сложились свои специфические законы и обычаи. Кроме этого, желательно по возможности четко определить, что же организация должна оберегать, применяя современные информационные технологии в процессах коммуникации.

Говоря о защищаемых ресурсах, прежде всего, следует отметить персонал - и наиболее ценный, и уязвимый ресурс одновременно.

Угрозы в отношении коммуникационных ресурсов, информационной безопасности и источники, откуда они исходят, детально описаны в фундаментальных работах. Им посвящены целые разделы соответствующих периодических электронных изданий. Такую информацию размещают на своих сайтах и разработчики защитного программного обеспечения. Публикуются сравнительные гистограммы, характеризующие частоту проявления различных угроз и наносимый в случае их реализации ущерб.

Вместе с этим представляется целесообразным рассмотреть некоторые особенности основных источников угроз информационным ресурсам. Среди мотивов, побуждающих специалистов идти на преступления, совершенные с помощью компьютера, в порядке приоритетности можно выделить следующие:

- экономические выгоды (как в плане получения денег, так и в плане нанесения ущерба конкурентам);

- PR-мотивы (создание выгодного имиджа себе и (или) очернение конкурента);

- месть (например, уволившему работодателю);

- самовыражение (попытки доказать свое превосходство);

- стремление к познанию (попытки экспериментально установить последствия разрушительных действий);

- вандализм;

- развлечение.

Хотя, по мнению экспертов, ущерб от внешних злоумышленников намного ниже, чем от инсайдеров, начнем все-таки с них.

По оценкам ведущих иностранных и российских аналитиков (в частности, аналитиков известной корпорации International Data Corporation - IDC), в 2012-2013 гг. произошли качественные изменения в составе внешних злоумышленников. В эти годы заметно уменьшилось число разрозненных вандалов-романтиков, основной целью которых было доказать свое индивидуальное техническое и интеллектуальное превосходство. На их место пришли хорошо организованные, самообучающиеся группы мотивированных специалистов, преследующих экономические или политические цели.

Различия в природе типов внешних злоумышленников определяют и специфику их действий. Так, раньше хакер, преодолев защитные средства, нуждался в признании своих "заслуг" - он намеренно оставлял специфический след, хвастался. Теперь его задача - незаметно проникнуть в охраняемый ресурс, реализовать свои намерения и также незаметно его покинуть.

Одним из подтверждений этого вывода является относительное сокращение разносимых электронной почтой эпидемий неизбирательных вирусных инфекций. В этих условиях фиксация и документирование самого факта взлома требуют специальных средств и значительно больших, чем ранее, усилий.

Другой распространенной формой враждебного воздействия извне на информационные ресурсы стали массированные атаки с использованием многочисленных специально созданных виртуальных площадок на сайтах ничего не подозревающих респектабельных владельцев (так называемые ботнеты).

Примерно один из десяти веб-сайтов, проиндексированных крупнейшей поисковой системой Google, содержит вредоносный троянский код, способный заразить компьютер посетителя.

Объединяясь, киберпреступники фактически сформировали доходный бизнес производства и продажи вредоносных программ, средств взлома защитных систем. Сами вредоносные программы совершили в эти годы переход от любительских к сложным профессиональным решениям.

В сети Интернет есть сайты, которые предлагают помощь в создании новых вирусов, при этом гарантируют их высокие "боевые", то есть разрушительные, качества. Одна из тенденций последнего времени - активизация разработок с целью разрушения средств защиты, устройств информационной безопасности.

Крайне опасны внутренние источники угроз. Возвращаясь к ранее высказанной мысли о превалирующей ценности персонала, следует подчеркнуть необходимость уделять серьезное внимание, во-первых, повышению уровня "грамотности" в области информационной безопасности и, во-вторых, лояльности по отношению к организации ее работников.

Первое поможет избежать весьма частных непреднамеренных и немотивированных действий, несущих серьезную угрозу работоспособности системы, целостности информационных ресурсов.

Второе будет способствовать удержанию работников в организации, предотвратит "расползание" чувствительной информации, удержит работников от вредоносных действий в информационной системе. Именно легальный пользователь-инсайдер точно знает, где находится наиболее ценная информация и для кого она может представить интерес на рынке.

Проведенный в рамках совместного исследования Института компьютерной безопасности и ФБР США опрос среди крупных компаний показал, что атака изнутри крупной компании приносит убытки в среднем на 2,7 млн. долл., а средняя атака извне - на 57 тыс. долл. Но особенно актуальной данная проблема стала в 2008 г. в период обострения мирового экономического кризиса.

Рассматривая вопросы борьбы с нежелательными действиями легальных пользователей, весьма важно предварительно провести анализ и описать наиболее важные участки с точки зрения возможности нанесения урона, точки входа, конкретные должности и пр. Конечно, они могут отличаться в различных структурах, однако имеются и общие моменты. Например, один из них заключается в том, что ключевыми объектами системы информационной безопасности являются системный администратор, работники подразделений информатизации и информационной безопасности в целом.

Как утверждают исследователи компании Cyber-Ark, специализирующиеся на информационной безопасности и защите от утечек данных, 56% респондентов из числа офисных служащих признали, что боятся потерять работу в период кризиса. Но если вдруг до них дойдут слухи, что они все-таки попали под сокращение, 46% опрошенных намерены уйти не с пустыми руками. Они будут узнавать, что есть полезного в корпоративной сети, и, если сами ничего там не обнаружат, готовы предложить взятку знакомому специалисту подразделения информатизации, чтобы тот нашел для них что-нибудь ценное. Более половины респондентов уже приготовились к увольнению - скопировали ценную корпоративную информацию - базы данных, планы развития и т.д., и будут использовать ее как козырь при поисках новой работы.

При угрозе сокращения опрошенные служащие, по их словам, готовы пренебречь этическими нормами - 71% точно будут использовать на новом месте работы конфиденциальные данные прежнего работодателя. Самое ценное, по их мнению, - это клиентские базы, контактная информация, планы и предложения, информация о продуктах, пароли и коды доступа.

Флэш-носители признаны исследователями в качестве самого дешевого, незаметного и поэтому наиболее часто используемого инструмента для кражи больших объемов данных. В качестве других "орудий преступления" применяют фотокамеры, электронную почту, CD, персональные веб-хранилища, смартфоны, DVD, Skype, iPod и, как это ни странно звучит в цифровую эпоху, собственную память. Так, 7% британцев признались, что просто запоминают важную информацию.

Интересные данные о ситуации в России приведены в ежегодном исследовании российского разработчика решений по обеспечению сохранности конфиденциальных данных компании Perimetrix "Инсайдерские угрозы в России": процесс внедрения специализированных систем защиты буксует и в сочетании с безнаказанностью инсайдеров стимулирует использование ими технических средств для хищения данных.

В подавляющем большинстве случаев внутренние нарушители не несут сколько-нибудь существенной ответственности. Наиболее распространенное наказание для халатных сотрудников - формальные выговоры (45%), а для злонамеренных инсайдеров - увольнение (51%) без симметричного судебного преследования или материальных взысканий.

Не меньшую озабоченность вызывает и степень латентности внутренних нарушений: 42% респондентов затруднились определить количество утечек конфиденциальных данных. Это можно объяснить как нежеланием "выносить сор из избы", так и недостаточной информированностью специалистов о положении дел в корпоративных сетях. В тройку "призеров" по степени опасности среди каналов утечки респонденты вынесли мобильные носители (70%), электронную почту (52%) и Интернет (33%). Больше всего инсайдеров привлекают персональные данные (68%), финансовые отчеты и детали конкретных сделок (40%).

Число компьютерных преступлений растет быстрыми темпами, увеличиваются масштабы компьютерных злоупотреблений. Новое исследование компании ScanSafe, занимающейся предоставлением онлайн-услуг в области безопасности, выявило 300%-ный рост объемов вредоносных программ в течение 2008 г. Характерно, что пики выбросов этих программ в мировую сеть пришлись на октябрь и ноябрь.

По оценкам специалистов США, ущерб от компьютерных преступлений увеличивается на 35% в год и составляет в настоящее время около 3,5 млрд. долл. Сумма ущерба от среднего компьютерного преступления составляет 560 тыс. долл., а при традиционном ограблении банка - всего лишь 19 тыс. долл.

Проведенное в США исследование Identity Theft Resource Center (ITRC) выявило увеличение в 2008 г. числа инцидентов, в результате которых были утрачены данные. На электронные взломы приходится 82,3%, на физические взломы и кражу бумаг - всего 17%. Только по официальным (далеко не полным) данным в 2008 г. 656 инцидентов были связаны с кражей информации. Это на 47% больше, чем в 2007 г. Основная часть утерянных данных не была защищена. Только в 2,4% из всех инцидентов данные были защищены криптографическими или иными серьезными способами, защищены паролем они были лишь в 8,5% случаев.

Завершая тему источников угроз, необходимо отметить, что наибольшую опасность несут в себе организованные группы злоумышленников, которые включают внешних и внутренних нарушителей, действующих согласованно.

В завершение хотелось бы подчеркнуть, что усилия и затраты по совершенствованию безопасности собственных информационных ресурсов обеспечивают рост знаний, навыков и общей культуры, развитие компетенций в данной сфере и, таким образом, повышают общий уровень безопасности. По этой причине значение этих усилий выходит за рамки интересов отдельной организации.

Независимо от масштабов организации ее успехи могут и должны рассматриваться как важный вклад в общую борьбу со злоумышленниками в IT-сфере. Положительные результаты в данном направлении должны находить одобрение и поощрение со стороны коллег, партнеров, профессиональных ассоциаций и, наконец, государства.

Глава 2. Информационная безопасность и мультимедиа в современных условиях

2.1 Проблемы информационной безопасности в современных условиях

Мировой экономический кризис диктует свои условия всем участникам рынка. Имеет свои особенности и защита информационного пространства компании. Чем в более сложных условиях находятся компании, тем сильнее конкуренция между ними. До кризиса компании вполне мирно ужились со своими конкурентами. Сегодня реалии существенно изменились, и эти изменения коснулись финансового рынка, пожалуй, раньше всего. Конкуренция стала более жесткой, и нередко в конкурентной борьбе компании используют недобросовестные приемы. Не последнее место в их списке занимает покупка у сотрудников конкурирующих компаний инсайдерской информации, которая может быть использована как самой компанией, так и предана огласке с целью подорвать бизнес конкурентов. Ущерб от утечек информации в условиях кризиса может быть существенно больше, чем в "обычной" жизни, а потому оставлять эту проблему без должного внимания означает идти на неоправданный риск. Единственным правильным вариантом борьбы с подобными явлениями может считаться только усиление контроля над действиями сотрудниками, среди которых потенциально могут оказаться инсайдеры.

Безусловно, информационная безопасность компании не ограничивается защитой от утечек информации, однако все ее аспекты невозможно охватить в одной работе, поэтому мы остановимся именно на вопросах защиты от инсайдеров.

Кризис влияет на активность инсайдеров, о чем свидетельствует статистика. По сравнению с прошедшим годом резко увеличилось количество сообщений об утечках информации в прессе. Исследования прессы, проведенные компанией "Новые поисковые технологии", специализирующейся на информационной безопасности, показали, что только за первые четыре месяца текущего года российская пресса зафиксировала утечек на 16% больше, чем за весь 2013 г. При этом доля умышленных утечек конфиденциальной информации составила 38%. Следует отметить, что это только те утечки, которые попали в поле зрения прессы, т.е. фактически это вершина айсберга. В условиях кризиса заработать стараются и сотрудники компаний, которые почувствовали на себе, что означает на практике уменьшение заработной платы. При этом от утечек конфиденциальной информации не застрахованы ни частные компании, ни государственные организации. Согласно результатам исследования кадрового холдинга АНКОР около 13% сотрудников ИТ-отделов получали предложения о продаже информации, являющейся конфиденциальной или составляющей коммерческую тайну той или иной компании. Всего же различную информацию, принадлежащую официальному работодателю, так или иначе для своего приработка используют 22% сотрудников.

Повышение общего уровня компьютерной культуры всех пользователей, осознание ими остроты существующих проблем в области информационной безопасности являются важными условиями успешности усилий в борьбе со злоумышленниками.

Безусловно, одними лозунгами и пропагандистскими лекциями достичь необходимого уровня защищенности ресурсов невозможно. Также нельзя полностью полагаться только на эффективность технических средств. В качестве характерного примера можно привести антивирусную защиту. Несмотря на прилагаемые усилия в изучении современных, в том числе эвристических, методов борьбы с вредоносными программами, пока рано говорить о создании действительно эффективных упреждающих антивирусных программ. По-прежнему многое зависит от своевременности обновлений, выбора правильного соотношения между вероятностями ложной тревоги и пропуска вредоносного кода.

Желаемого эффекта можно добиться только за счет оптимального сочетания технических и организационных мер. В данном контексте к техническим мерам отнесем программные и аппаратные средства, а к организационным - комплекс нормативных и организационно-распорядительных документов, регламентирующих действия всех участников создания, обработки, хранения и уничтожения информации.

В настоящее время рынок предлагает большое число различных решений в области антивирусной защиты, контроля доступа и пр. По мере развития информационной системы, существенного увеличения числа пользователей и объемов обрабатываемой информации усложняются и проблемы построения согласованной системы информационной безопасности. Приходится менять привычные представления об объектах защиты. Например, зачастую бывает непросто определить сам периметр защищаемого объекта. Учитывая наличие многочисленных связей между вашей информационной системой и внешними информационными системами, возникает вопрос о разделении зон ответственности.

В связи с изложенным одной из доминирующих тенденций в настоящее время становится построение комплексных интегрированных систем информационной безопасности, включающих в себя согласованные между собой все необходимые технические устройства. Это так называемые коробочные решения, когда пользователь покупает отдельный (например, антивирусный) комплекс и самостоятельно устанавливает его, все больше становятся уделом индивидуальных или весьма малых информационных систем. Создание упомянутых комплексных систем подразумевает всестороннее обследование всей существующей информационной структуры, внесение в нее изменений, необходимых для эффективного функционирования средств защиты, последующее встраивание дополнительных устройств и программных комплексов.

При этом, во-первых, необходимо обеспечить самое тесное взаимодействие между разработчиками, информатизаторами и специалистами подразделения информационной безопасности, с тем чтобы разработанная и построенная система в полной мере отвечала потребностям данной конкретной организации и строго решала именно поставленные задачи.

Во-вторых, необходимо оценивать экономическую целесообразность предлагаемой разработчиками системы, и не только с точки зрения финансовых последствий ложной тревоги и оставления незамеченным значимого с точки зрения безопасности события. Любой новый элемент, будучи внесенным в информационную структуру, всегда усложняет ее, увеличивает вероятность сбоев, нагрузку на коммуникационные устройства и пр., следовательно, требует установки более совершенного и производительного, то есть дорогостоящего оборудования.

Более того, возникает необходимость содержания отдельной группы работников, решающих только проблемы информационной безопасности.

Не случайно в статьях и выступлениях, посвященных рассматриваемой проблеме, много внимания уделяется взаимодействию подразделений информатизации и информационной безопасности. Прежде всего, обе эти службы неразрывно связаны единой сферой деятельности. Вместе с этим их бюджеты существенно разнятся. В качестве образца, к которому желательно стремиться, нередко приводят цифру, достигнутую в крупных компаниях США, - 5% от IT-бюджета там выделяется на решение проблем информационной безопасности. Естественно, заметно отличаются и численности этих подразделений.

При этом, как было отмечено выше, роль сотрудников, обеспечивающих информационную безопасность в формировании конечного продукта, достаточно велика. Более того, с ростом угроз и изощренности злоумышленников, усложнением информационной структуры организации весьма существенно возрастает и их ответственность, быстро увеличивается количество решаемых задач.

Не только в нынешних кризисных условиях, но и в периоды относительного благополучия стратегия расширения подразделений информационной безопасности вслед за возникновением новых проблем в данной сфере является тупиковой. Экстенсивный подход не оправдан ни с экономической, ни с организационной точки зрения. Тем более что существует существенная нехватка специалистов в области информационной безопасности. Так, согласно результатам совместного исследования компании Perimetrix и сообщества ABISS 86,1% опрошенных банков имели открытые вакансии технических специалистов по информационной безопасности, а 75,7% - менеджеров по информационной безопасности. Причина "кадрового голода" - низкие зарплаты, а не слабая работа вузов.

Единственный приемлемый путь выхода из этой ситуации - автоматизация реализуемых подразделениями информационной безопасности процессов, построение автоматизированной системы управления информационной безопасностью.

Взаимное положение подразделений информатизации и информационной безопасности в общей организационной структуре редакций, их отношение к существующей информационной структуре определяют возникновение объективных противоречий между ними.

Первые заинтересованы в том, чтобы обслуживаемая ими структура работала бесперебойно, чтобы в ней не было ничего лишнего (не обеспечивающего непосредственно функционирование системы).

Вторые в большей степени заинтересованы в том, чтобы каждый элемент структуры был максимально защищен и обеспечен дополнительными средствами контроля. Они постоянно вмешиваются в работу системы и т.д.

Результаты недавнего исследования корпорации IDC показывают, что компаниям с трудом удается найти сбалансированный подход в одновременном обеспечении информационной безопасности и внедрении новых технологических решений. Исследование, проведенное по заказу специалистов RSA (подразделение корпорации EMC, специализирующееся на решениях в области информбезопасности), показало, что в 80% случаев информационные угрозы препятствуют внедрению инноваций в бизнес. IDC также удалось выяснить, что 80% руководителей компаний считают свои отделы IT-безопасности ответственными за недостаточное инновационное развитие бизнеса. При этом лишь 44% глав отделов информационной безопасности полагают, что влияние их работы на инновационную сферу бизнеса должным образом оценивается.

Эти результаты указывают на несоответствие между ожиданиями высшего руководящего состава и приоритетами специалистов информбезопасности. Только 21% респондентов уверены в том, что их организации успешно проводят проактивную политику IT-безопасности, не препятствующую и даже способствующую внедрению инноваций. Вице-президент IDC Крис Кристиансен полагает, что в сегодняшних условиях (при отсутствии здоровой инновационной среды) бизнес не может расти. По его словам, несмотря на некоторый прогресс в исследованной области, безопасность и инновации до сих пор противопоставляются, хотя оба направления, по сути, являются взаимодополняющими.

Отметим, что разрешению и предотвращению перерастания межгрупповых конфликтов в межличностные, переводу участников из отношений противоборства в отношения сотрудничества во многом может способствовать обоснованная и сбалансированная система организационных мер обеспечения информационной безопасности, разработанная в организации с учетом ее специфики. Она адресуется наиболее важной части организации - персоналу.

Эта система мер должна быть сформулирована в минимальном количестве документов, однозначно регламентирующих взаимодействие всех участников технологических процессов с использованием информационной структуры.

Анализ реализуемых в различных организациях технологических процессов, современная тенденция перехода от функциональной организационной структуры к матричной показывают, что практически все ключевые процессы, происходящие в организации, проходят через подразделение информационной безопасности, его сотрудники в той или иной степени участвуют в каждом значимом проекте. В связи с этим становится очевидным, что система организационных мер в области информационной безопасности окажет непосредственное влияние на всю систему взаимоотношений в коллективе и на функционирование организации в целом. Регламенты неизбежно будут затрагивать интересы участников, ограничивать их возможности при реализации конкретных функций, усложнять работу и, следовательно, жизнь.

Степень влияния практического решения вопросов информационной безопасности на функционирование всей организации определяет необходимость непосредственного участия именно первого лица организации на всех важных этапах разработки указанных документов - от определения целей до их утверждения и контроля за исполнением.

Процесс разработки комплекта регламентирующей документации должен строиться на основе корпоративной стратегии и корпоративной культуры, учитывать не только исторически сложившиеся реалии, но и новейшие достижения науки, опыт и разработки других организаций. Определение приоритетов, создание научно обоснованных, прозрачных единых требований к персоналу и техническим средствам, правил обращения с информационными активами, вычислительными и телекоммуникационными системами, унификация используемых технических средств и методик невозможны без стандартизации.

2.2 Особенности развития средств мультимедиа

Мультимедиа - интерактивная система, обеспечивающая одновременное представление различных медиа - звук, анимированная компьютерная графика, видеоряд. Например, в одном объекте-контейнере (англ. container) может содержаться текстовая, аудиальная, графическая и видеоинформация, а также, возможно, способ интерактивного взаимодействия с ней.

Термин мультимедиа также, зачастую, используется для обозначения носителей информации, позволяющих хранить значительные объемы данных и обеспечивать достаточно быстрый доступ к ним (первыми носителями такого типа были Компакт-диски). В таком случае термин мультимедиа означает, что компьютер может использовать такие носители и предоставлять информацию пользователю через все возможные виды данных, такие как аудио, видео, анимация, изображение и другие в дополнение к традиционным способам предоставления информации, таким как текст

Каким образом информация мультимедиа может покидать пределы компании и становиться достоянием общественности или оружием конкурентов? Вариантов, к сожалению, достаточно много. Наибольшую популярность у инсайдеров получили небольшие портативные носители информации, например "флэшки", имеющие малые физические размеры, но способные переносить большой объем информации. Популярны также фотоаппараты, MP3-плееры, мобильные телефоны, обладающие теми же преимуществами. Впрочем, инсайдеры используют и менее емкие носители информации, в частности бумагу, на которой можно распечатать важный финансовый отчет. Беспроводные технологии (Bluetooth, Wi-Fi) тоже не остаются без их внимания, так как позволяют передавать содержание закрытого совещания, взяв с собой ноутбук.

Конечно, популярны у инсайдеров и электронные средства коммуникации: электронная почта, программы для мгновенного обмена сообщениями (ICQ, IRC, MSN Messenger, Skype). В последнее время мессенджеры, e-mail и Skype стали еще более актуальны для инсайдеров, поскольку из-за их дешевизны компании предпочитают их вместо традиционных телефонных переговоров и факса, а следовательно, и большинству сотрудников получить доступ к ним проще. Пожалуй, именно этим опасностям необходимо сейчас уделять внимание в первую очередь.

Многие сегодня используют Skype как альтернативу классической телефонии. Действительно, эта программа чрезвычайно удобна тем, что позволяет осуществлять сравнительно дешевые междугородные и международные переговоры, причем с ее помощью можно позвонить с компьютера даже на мобильный или городской телефон. В то же время, с точки зрения инсайдера, Skype - настоящая находка, поскольку позволяет передавать информацию в защищенном режиме, при этом можно не опасаться ее перехвата и расшифровки на пути к конечному адресату.

Голосовые переговоры с помощью Skype для инсайдера не слишком удобны по той причине, что зачитывание вслух конфиденциальной информации сопряжено с рядом непреодолимых трудностей. Во-первых, большие объемы информации при передаче через голосовую связь требуют большого количества времени, а во-вторых, инсайдер может сделать ошибку при передаче данных (например, номера банковского счета или редко встречающейся фамилии). Кроме того, при передаче важной информации посредством аудиосообщений коллеги, прислушивающиеся волей-неволей к разговорам по Skype, обязательно заподозрят что-то неладное и заинтересуются темой разговора.

Таким образом, при всех достоинствах голосового общения, в котором крайне сложно выделить конфиденциальную информацию с помощью специализированных автоматизированных систем, вероятность использования этого канала инсайдерами минимальна. Кстати, даже при отсутствии возможности распознавания отдельных слов в речи современные системы предотвращения утечек данных позволяют записывать поток аудиоданных, для того чтобы его потом мог прослушать специалист, ответственный за информационную безопасность.

Однако Skype позволяет вести не только телефонные переговоры. С его помощью можно также мгновенно обмениваться сообщениями и пересылать файлы, и эти возможности программы с точки зрения инсайдера выглядят более привлекательными. Передача базы данных целиком, несомненно, более удобна, чем зачитывание отдельных записей из нее. Помимо этого очевидным является тот факт, что важные документы проще передавать с помощью текстовых сообщений, чем голосовых, поэтому на предотвращение утечек посредством пересылки сообщений и файлов необходимо обратить особое внимание при разработке политики защиты от утечек информации с использованием Skype.

К сожалению, для предотвращения угроз утечки информации через Skype, которые так серьезны для финансовых компаний, решений не слишком много в отличие, например, от решений по перехвату электронной почты. Впрочем, если воспользоваться поиском по Интернету, то можно узнать, что компания "Софт Информ" уже разработала для специалистов по безопасности решение Skype Sniffer.

Тем не менее, Skype далеко не самая широкая брешь в информационной безопасности большинства компаний, хотя и через нее утекает значительный объем информации. Напомним, что мы говорим об условиях кризиса - о времени, когда компании стараются сократить свои расходы по каждой из потенциально расходных статей бюджета. Велик соблазн "оптимизировать", т.е. сократить расходы на содержание отдела информационной безопасности. Безусловно, разумная экономия - явление очень своевременное в условиях кризиса, однако необходимо спланировать мероприятия по сбережению средств на информационную безопасность таким образом, чтобы в результате не получить ущерб на сумму, многократно превышающую сэкономленные средства.

Первое, что приходит в голову, - это сократить численность сотрудников отдела информационной безопасности. Но эта идея плоха: гораздо продуктивнее отказаться от систем видеонаблюдения и перейти на программные средства защиты. Программные продукты для защиты от утечек информации позволяют отказаться от использования дорогостоящего оборудования для слежения, а количество человек, на плечи которых ляжет анализ собираемых системой данных и мониторинг выдаваемых ею предупреждений, не превысит двух-трех. Такие системы, конечно, стоят недешево, но видеооборудование стоит в несколько раз дороже и обеспечивает гораздо менее эффективную защиту от утечек информации.

При выборе системы защиты от утечек информации необходимо обязательно учесть, во сколько компании обойдется, в конечном счете, ее внедрение. Возможно, будет гораздо выгоднее купить более дорогой программный продукт, не требующий тщательной настройки специалистами той компании, которая продает эту систему защиты, чем оплачивать многомесячный труд этих специалистов. Кроме того, при выборе системы необходимо по возможности избегать доступа "внедренцев" к той информации, утечку которой нужно предотвратить.

Покупке системы защиты должна предшествовать выработка политики компании в области информационной безопасности, и здесь экономить уже не нужно, хотя иногда возникает желание сразу приступить к внедрению системы защиты от утечек, чтобы работники отдела информационной безопасности занимались делом. Однако этот этап предварительной работы так же важен, как и этап проектирования при постройке зданий. Если компания не выработает четкой политики информационной безопасности, то будет крайне проблематично требовать от сотрудников соблюдать ее, а также контролировать это соблюдение с помощью приобретенной системы. Сэкономить в этом случае можно путем привлечения к разработке политики безопасности не сторонних специалистов, а сотрудников, ответственных за информационную безопасность в самой компании.

В заключение хотелось бы сказать, что кризис - это сложное испытание для большинства редакций. Но если действовать разумно и не уповать на работавшие до него шаблоны, то можно выявить недобросовестных сотрудников, готовых продать на сторону конфиденциальную информацию.

Заключение

По результатам проведенного исследования можно сделать следующие выводы.

В последнее время в научной литературе возросло количество исследований, посвященных проблемам безопасности.

В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В информационном пространстве уже сформировались основные группы участников, сложились свои специфические законы и обычаи. Кроме этого, желательно по возможности четко определить, что же организация должна оберегать, применяя современные информационные технологии в процессах коммуникации.

Крайне опасны внутренние источники угроз. Возвращаясь к ранее высказанной мысли о превалирующей ценности персонала, следует подчеркнуть необходимость уделять серьезное внимание, во-первых, повышению уровня "грамотности" в области информационной безопасности и, во-вторых, лояльности по отношению к организации ее работников.

Наибольшую опасность несут в себе организованные группы злоумышленников, которые включают внешних и внутренних нарушителей, действующих согласованно.

Усилия и затраты по совершенствованию безопасности собственных информационных ресурсов обеспечивают рост знаний, навыков и общей культуры, развитие компетенций в данной сфере и, таким образом, повышают общий уровень безопасности.

Повышение общего уровня компьютерной культуры всех пользователей, осознание ими остроты существующих проблем в области информационной безопасности являются важными условиями успешности усилий в борьбе со злоумышленниками.

Взаимное положение подразделений информатизации и информационной безопасности в общей организационной структуре редакций, их отношение к существующей информационной структуре определяют возникновение объективных противоречий между ними.

Первые заинтересованы в том, чтобы обслуживаемая ими структура работала бесперебойно, чтобы в ней не было ничего лишнего (не обеспечивающего непосредственно функционирование системы).

Вторые в большей степени заинтересованы в том, чтобы каждый элемент структуры был максимально защищен и обеспечен дополнительными средствами контроля. Они постоянно вмешиваются в работу системы и т.д.

Мультимедиа - интерактивная система, обеспечивающая одновременное представление различных медиа-звук, анимированная компьютерная графика, видеоряд. Например, в одном объекте-контейнере (англ. container) может содержаться текстовая, аудиальная, графическая и видеоинформация, а также, возможно, способ интерактивного взаимодействия с ней.

В заключение хотелось бы сказать, что кризис - это сложное испытание для большинства компаний. Но если действовать разумно и не уповать на работавшие до него шаблоны, то можно выявить недобросовестных сотрудников, готовых продать на сторону конфиденциальную информацию.

Библиографический список

1. Закон РФ от 5 марта 1992 г. N 2446-1 "О безопасности" (с изм. от 25 декабря 1992 г., 24 декабря 1993 г., 25 июля 2002 г.) // Российская газета. 6 мая 1992. N 103. Ст. 1.

2. Баранов А.П., Григорьев В.Р. О возможности структуризации понятия "безопасность системы" // Материалы конференции "Проблемы внутренней безопасности России в XXI веке" / Науч. ред. В.А. Возжеников. - М.: ЗАО "ЭДАС-ПАК", 2001.

3. Галямов Р.Р. Информационная безопасность - фактор обеспечения конкурентных преимуществ // Управление в кредитной организации, 2009, N 3. - С.25.

4. Емельянов Г.В., Стрельцов А.А. Информационная безопасность России. Учебное пособие / Под ред. А.А. Прохожева. М.: Всероссийский научно-технический информационный центр. 2000. - С. 5, 6.

5. Засецкая К. Информационная безопасность, комплексная защита информации - насколько актуальны сегодня эти вопросы? // Управление персоналом. 2010. - № 11.

6. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2010.

7. Идов Р. Информационная безопасность в условиях кризиса // Финансовая газета. Региональный выпуск, 2009, N 33. - С. 5.

8. Калина Е.С. Понятие безопасности и право на безопасность как одно из личных прав // Научные труды. Российская академия юридических наук. Выпуск 4: В 3 т. Т. 1. - М.: Издательская группа "Юрист", 2004. С. 359 - 361

9. Кирьянов А.Ю. Общая характеристика понятия "безопасность". Подходы к определению и виды // Безопасность бизнеса. 2010. № 1.

10. Кортунов С.В. Становление политики безопасности: Формирование политики национальной безопасности России в контексте проблем глобализации. - М.: Наука, 2003.

11. Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. - СПб.: Фонд «университет», 2010. С. 74.

12. Могилевский В.Д. Системная безопасность: формализованный подход // Материалы конференции "Проблемы внутренней безопасности России в XXI веке" / Науч. ред. В.А. Возжеников. - М.: ЗАО "ЭДАС-ПАК", 2001. С. 86.

Размещено на Allbest.ru