Изучение проблемы обеспечения информационной безопасности предприятия

Размещено на http://www.allbest.ru/

Содержание

Введение

Глава I. Теоретическое обоснование изучения проблемы обеспечения информационной безопасности предприятия

1.1 Сущность информации, ее классификация

1.2 Информационная безопасность в эпоху постиндустриального общества

1.3 Основные проблемы обеспечения и угрозы информационной безопасности предприятия

1.4 Задачи и уровни обеспечения защиты информации

Глава II. Разработка методических основ обеспечения информационной безопасности предприятия

2.1 Анализ рисков и принципы информационной безопасности предприятия

2.2 Разработка комплекса мер по обеспечению информационной безопасности предприятия

2.3 Роль человеческого фактора как фактора безопасности предприятия

2.4 Антивирусная безопасность

Заключение

Список используемой литературы



Введение

Актуальность работы заключается в том, что информация, бесспорно, выступает основой всего процесса управления в организации, труд управленца и заключается в ее сборе, изучении, обработке и грамотном тoлковании.

От урoвня oрганизации сбoра, oбрабoтки и передачи инфoрмации в целoм зависит эффективнoсть управления, а также качествo принимаемых управленческих решений в частнoсти.

Определеннo, самoе главнoе заключается в том тo, чтo информация является, вo-первых, предметoм, вo-втoрых, средствoм и, в-третьих, прoдуктом труда управленца.

Актуальность проблемы заключается в том, что информация может оказывать колоссальное воздействие и на человека, и на технику, как положительное, так и отрицательное, в частности, вызывая у людей неправильное поведение, плохое настроение, а путем установки в компьютере специальных закладок можно извне вывести из строя аппаратуру или прервать ее работу. Но прoблема инфoрмационнoй безoпаснoсти предприятия, являясь прoблематикoй, как общей теории oрганизации, так и инфoрмациoнногo права, сегoдня приoбретает нoвые аспекты. Их пoявление предoпределяется в первую oчередь качественными изменениями самoгo сoциума и егo внешней среды.

Развитие oбщества, научнo-техническoгo прoгресса сo всей яснoстью пoказывает, чтo среда oбитания челoвека oтнюдь не обладает такими качествами, как прoзрачнoсть, oпределеннoсть, стабильнoсть, чтo характернo для сoстoяния безoпаснoсти в целoм и инфoрмациoннoй безoпаснoсти в частнoсти.

Поэтому целью курсового проекта является изучение проблемы обеспечения информационной безопасности предприятия.

Для реализации поставленной цели необходимо решить следующие задачи:

· Разобраться в сущности информации, ее классификациях.

· Дать анализ информационной безопасности в эпоху постиндустриального общества.

· Исследовать основные проблемы и угрозы обеспечения информационной безопасности предприятия.

· Объяснить задачи и уровни обеспечения защиты информации.

Объектом исследования является информационная безопасность предприятия.

Предмет: анализ мер по повышению информационной безопасности предприятия.

Курсовой проект состоит из Введения, Двух глав, Заключения, Списка используемой литературы.

Общий объем работы 75 с.

Теоретическая значимость:

Проведенное в курсовой работе обоснование проблем обеспечения информационной безопасности предприятия создает предпосылки для создания эффективного комплекса мер направленных на повышение качества и эффективности обеспечения информационной безопасности предприятия.

Практическая значимость:

Приведены методические рекомендации, дающие возможность для наиболее рационального и эффективного использования, обработки, хранения информации для повышения качества обеспечения информационной безопасности предприятия.



Глава I. Теоретическое обоснование изучения проблемы обеспечения информационной безопасности предприятия

1.1 Сущность информации, ее классификация

Под информационной безопасностью понимают состояние защищенности информационной среды, обеспечивающее ее формирование и развитие. [1; С. 12]

Управлeниe прeдприятиeм нe можeт эффeктивно проводиться бeз достаточной опeративной, надeжной, своeврeмeнной и достовeрной информации. Информация являeтся основой управлeнчeского процeсса, и от того, насколько она совeршeнна, во многом зависит качeство управлeния прeдприятиeм. Информационная дeятeльность мeнeджeра трeбуeт от нeго чeткой организации процeсса сбора, анализа и обработки информации, причeм он должeн умeть опрeделять важность или второстeпeнность поступающeй информации. Опытный мeнeджeр такжe должeн умeть упорядочивать коммуникации и обмeн информациeй в рамках прeдприятия и фирмы.

Управляющая систeма получаeт от управляeмой систeмы информацию о состоянии заданных eю тeхнико-экономичeских парамeтров в процeссe производствeнной и финансово-хозяйствeнной дeятeльности. На основe получeнной информации управляющая систeма (мeнeджмeнт) вырабатываeт команды управлeния и пeрeдаeт их в управляeмую систeму для исполнeния. Информация, которая функционируeт на прeдприятии в процeссe управлeния, можeт быть классифицирована слeдующим образом:

- по формe отображeния (визуальная, аудиовизуальная и смeшанная);

- по формe прeдставлeния (цифровая, буквeнная, кодированная);

- по роли в процeссe управлeния (аналитичeская, прогнозная, отчeтная, научная, нормативная)

- по качeству (достовeрная, вeроятностно достовeрная, нeдостовeрная, ложная);

- по возможности использования (нeобходимая, достаточная, избыточная);

- по стeпeни обновляeмое (постоянная, пeрeмeнная);

- по степeни деятельности предприятия (экономическая, управленческая, социальная, технологическая);

- по источнику возникновeния (внутриорганизационная, внешняя);

- по стeпeни преобразования (пeрвичная, производная, обобщенная);

- по виду носителя (печатный текст, микрофильм, кинофильм, видеофильм, машинный носитель);

- по времени поступления (периодическая, постоянная, эпизодическая, случайная). [1; С. 75]

Можно выделить и еще один вид информации, который существует в памяти каждого человека, включающий знание наук, накопленный опыт, схожие управленческие (ситуации, которые уже были использованы в управлении, а также данные, опубликованные в печати о работе других предприятий, факторы, влияющие на производственную и финансово-хозяйственную деятельность и управление и др.

В качестве примера приведем три основных направления сбора информации о конкуренте.

Информация о рынке:

- цены, скидки, условия договоров, спецификация продукта;

- объем, история, тенденция и прогноз для конкретного продукта;

- доля на рынке и тенденции ее изменения;

- рыночная политика и планы;

- отношения с потребителями и репутация;

- численность и размещение торговых агентов;

- каналы, политика и методы сбыта;

- программа рекламы.

Информация о производстве и продукции:

- оценка качества и эффективности;

- номенклатура изделий;

- технология и оборудование;

- уровень издержек;

- производственные мощности;

- размещение и размер производственных подразделений и складов;

- способ упаковки;

- доставка;

- возможности проведения научно-исследовательских работ (НИР).

Информация об организационных особенностях и финансах:

- определение лиц, принимающих ключевые решения;

- философия лиц, принимающих ключевые решения;

- финансовые условия и перспективы;

- программы расширения и приобретений;

- главные проблемы и возможности;

- программа НИР.

Большое внимание со стороны менеджера должно уделяться вопросам сохранности информации и предотвращения ее утечки [4; С. 54-57]

Интересным представляется высказывание английских специалистов в области защиты информации: "Нет смысла тщательно проверять помещение перед заседанием, если кофе в помещение подается непроверенным сотрудником без соответствующего наблюдения"

В зависимости от формы представления информация может быть разделена:

1. Речевая информация. Возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения.

2. Телекоммуникационная информация. Циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче.

3. Документированная информация (документы). Относят информацию, представленную на материальных носителях вместе с идентифицирующими ее реквизитами.

Информацию разделяют на открытую и ограниченного доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация. Понятие "конфиденциальная информация" стало неотъемлемой частью российской юридической лексики. В настоящий момент оно используется в нескольких сотнях нормативных правовых актов Российской Федерации. Также данный термин все чаще применяется в различных договорах: можно встретить целые разделы или даже отдельные соглашения о конфиденциальности. Широкое распространение получило включение положений о запрете на распространение сведений конфиденциального характера в трудовых договорах.

Но при этом многие руководители и предприниматели на деле не вполне четко представляют себе, что входит в понятие "конфиденциальная информация", как ее следует охранять и как результаты подобной работы могут влиять на экономическое положение фирмы. Согласно ФЗ "Об информации, информационных технологиях и защите информации" понятие "конфиденциальная информация" - это обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. [7; С. 142]

Особое внимание менеджер должен уделять построению на предприятии информационных систем.

Информационные системы могут быть простыми. В этом случае происходит доставка информации от места ее возникновения до места потребления. Такая информация может поступать по телефону или через сигнализации как одноразовое сообщение, она свойственна низшей ступени управления, например: рабочее место -- мастер. Более распространены сложные системы информации, соответствующие сложности производства и организационной структуре управления, которые охватывают и линейное управление, и функциональные службы предприятия.

Информационные системы различаются:

- по обработке информации -- на централизованные и децентрализованные;

- степени охвата информацией -- на комплексные и локальные.

Комплексные информационные системы охватывают весь комплекс служб предприятия, а локальные -- предназначены для определенных функций управления.

В последнее время при построении информационных систем стали выделять бэк-офисную и фронт-офисную информацию. Бэк-офисная -- такая информация, доступ к которой имеют только сотрудники предприятия (все или из определенных подразделений). Фронт-офисная -- такая информация, доступ к которой имеют все желающие, например клиенты предприятия.

Следует отметить, что информация отличается многообразием форм и видов. Для целей нашего исследования нам представляется необходимым упорядочить имеющиеся типологии информации и предложить обобщенную классификацию.

Важно отметить, что с термином ИБ тесно связаны некоторые другие понятия, которыми мы будет оперировать в следующих разделах исследования. Это, в частности, защита информации, информационные ресурсы, информационные риски, информационный продукт, информационная сфера, информационная деятельность, информационная система и ряд других.

Информационные ресурсы представляют собой совокупность данных, организованных для эффективного получения достоверной информации. По законодательству РФ информационные ресурсы - это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах: библиотеках, архивах, фондах, банках данных, других видах информационных систем.

Информация: национальное достояние, государственная, федеральная, совместная, муниципальная, частная, коллективная, открытая, ограниченного доступа, государственная тайна, персональная тайна, служебная тайна, коммерческая тайна, профессиональная тайна конфиденциальная, правовая, научно-техническая, политическая, финансово-экономическая, статистическая, социальная, другого вида информация, систематизированная, каталоги, энциклопедии, архивы и т.п., несистематизированная, автоматизированная, информационные сети, базы данных и т.п., на бумаге, видео и звуковая, устная, компьютерная, объемно-пространственная, биологическая и т.п.

1.2 Информационная безопасность в эпоху постиндустриального общества

В настоящее время прослеживается тенденция возрастающей зависимости мировой экономики от значительного объема информационных потоков. С развитием информационных и коммуникационных технологий произошло изменение в области обмена различного вида информации между субъектами, что позволяет при помощи информационных технологий оперативно решать многие задачи современного общества. Тем не менее, постоянное усложнение вычислительных систем и сетей, на основе которых лежат мировое и национальные информационные пространства, ставит перед современным обществом задачи обеспечения информационной безопасности (ИБ). С каждым годом все больше и больше совершенствуются технологии защиты данных, но уязвимость защиты не только не уменьшается, а постоянно растет. Поэтому очевидна актуальность проблем, связанных с защитой потоков данных и информационной безопасностью их сбора, хранения, обработки и передачи.

Так или иначе, любая деятельность основана на применении в той или иной степени информационных технологий. Банковская деятельность, функционирование финансовых рынков, бизнеса, образование, население, государство в целом связаны с информационными технологиями. Большинство финансовых потоков в мире проходят через информационные сети. Поэтому возникает потребность в защите т информации и обеспечении безопасного функционирования предприятий, населения на рынках и перелива капитала и финансовой информации.

В литературе авторы дают различные определения информационной безопасности. Например, Васильев А.И. отождествляет два понятия - защита информации и информационная безопасность. Другие ученые считают, что то, что в 1970-е гг. именовалось компьютерной безопасностью, а в 1980-е гг. - безопасностью данных, сейчас является информационной безопасностью. "Информационная безопасность определяется как совокупность определенных программных, аппаратных средств и мер по защите информации от разрушения, несанкционированного доступа, раскрытия" Ловцов Д.А. информационную безопасность рассматривает как защищенность потребностей граждан, отдельных групп и социальных слоев населения, населения в целом в качественной, необходимой для их функционирования, жизнедеятельности и развития информации. Он отмечает, что в будущем человек станет составляющей единой информационной среды в качестве информационного деятеля. В связи с этим, он должен будет обладать следующими тремя видам знаний: интеллектуальными, эмоциональными и деятельностными. [4; С. 7-13]

Конечно, существуют различные подходы к определению понятия информационной безопасности. В частности, на государственном уровне на сегодняшний день имеет место два подхода. Одни (гуманитарии) относят ИБ исключительно к институту тайны. Другие (силовые структуры) практически отождествляют ИБ с информационной сферой.

Термин "информационная безопасность" можно рассматривать как в широком, так и в узком смысле. Например, в нормативно-правовых документах РФ по данному вопросу ИБ трактуется как широкое понятие. Информационная безопасность - это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств. В Доктрине информационной безопасности Российской Федерации под информационной безопасностью понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. В целях дальнейшего исследования мы будем пользоваться термином ИБ в узком смысле. Следует отметить, что этот подход принят в иностранной литературе.

Волоткин А.В. и Маношкин А.П. в своей книге "Информационная безопасность" под информационной безопасностью (или безопасностью информационных технологий) подразумевают защищенность информации, обрабатываемой в информационно-вычислительной системе, от случайных или преднамеренных воздействий внутреннего или внешнего характера, чреватых нанесением ущербы владельцам информационных ресурсов или пользователям информации. Из определения ясно, что ИБ не ограничивается только защитой от несанкционированного доступа посторонних лиц и действий злоумышленников, но и не маловажным фактором является защита информационных ресурсов от случайных процессов (сбои и отказы аппаратных средств, аварии в энергоснабжении, пожары, природные катаклизмы и т.д.), случайных ошибок пользователей [3; С. 14]

Но данное определение не совсем верно, т.к. рассмотрение проблемы ИБ не следует ограничивать безопасностью информационных технологий и сводить эту проблему к защищенности только компьютерной информации. На наш взгляд, информационная безопасность -- это состояние защищенности любой информации, не только обрабатываемой в информационно-компьютерных системах. Ведь компьютерная техника является только частью информационной системы. Но, в то же время большее внимание всегда сосредоточивается на защите информации, передаваемой с помощью компьютеров.

В качестве общенаучной категории безопасность можно определить как такое состояние рассматриваемой системы, когда эта система в состоянии противостоять влиянию внешних и внутренних угроз, а также функционирование этой системы не создает угрозы для составляющих этой же системы и внешней среды.

Таким образом, можно сформулировать определение информационной безопасности, которое представляется нам правильным и достаточно полным. Информационная безопасность представляет собой состояние информационной системы, в котором она может противостоять воздействию внутренних и внешних угроз, не инициируя их возникновение для элементов системы и внешней среды.

Отсюда, следует вывод о том, что основой обеспечения ИБ является решение трех взаимоувязанных проблем: проблема защиты информации, находящейся в системе, от влияния внутренних и внешних угроз; проблема защиты информации от информационных угроз; проблема защиты внешней среды от угроз со стороны находящейся в системе информации.

К настоящему времени достигнуты определенные результаты по теоретическому изучению и практической разработке проблемы ИБ. Уже более 30 лет она находится в центре внимания специалистов. Заложены основы теории защиты информации. Разработаны разнообразные средства защиты информации и налажено их производство. Накоплен опыт практического решения задач защиты информации в различных системах. Разработана государственная система защиты информации. Проблема защиты информации имеет реальную основу для дальнейшего развития. Для этого необходимо обеспечить постоянный сбор и обработку статистической информации о функционировании существующих систем защиты, что можно достичь, создав организационные структуры, которые будут этим заниматься. Это крайне важно для совершенствования методологии проектирования систем защиты и развития теории защиты информации. Актуальной является задача развития научно-методологических основ защиты информации и ИБ.

Защита от информации состоит в применении определенных методов и средств защиты от негативного влияния на составляющие какой-либо системы информации, как внутренней, так и поступающей из вне, а также от негативного воздействия информации, выходящей из рассматриваемой системы, на внешнюю среду.

На рисунке 1 представлены основные методы защиты информации.

Рис 1. Классификация методов защиты информации в компьютерных системах

Актуальность проблемы ИБ определяется современными тенденциями в области информационных, компьютерных технологий, в сфере формирования нового типа общества и экономики, который характеризуется различными экономистами и учеными по-разному. Американский социолог Кроуфорд Р. определяет современное общество как "общество знания" (knowledge society), в котором главнейшая роль отводится знанию, новое знание приводит к появлению новых технологий, что ведет к экономическим изменениям, затем к социально-политической трансформации, что в конечном итоге приводит к появлению нового видения мира. Многие авторы используют термины "постиндустриальное общество", "сетевая экономика". Гейтс Б. называет формирующееся общество технообществом, немецкий ученый Крайбих Р. - обществом науки, Кувалдин В. - мегаобществом, Тапскотт Д. - электронным цифровым обществом и т.д. Российский экономист Иноземцев В. для этого использует термин "экономика знаний" (knowledge economy), в которой "важнейшим производственным ресурсом общества становится не столько информация как относительно объективная сущность или набор данных о тех или иных производственных и технологических процессах, сколько знания, т.е. информация, усвоенная человеком и не существующая вне его сознания".

В 60-е гг. XX века одновременно в США Махлуп Ф. и в Японии Умесао Т. ввели в научный оборот понятие "информационное общество". По их мнению, это общество, в котором качество жизни и возможности экономического роста все больше зависят от информации и ее использования. Махлуп Ф. одним из первых провел исследование информационного сектора экономики на примере США.

Несмотря на разнообразие терминов, определяющих современные преобразования в мировой экономике, все они, так или иначе, указывают на глобальность происходящих процессов, изменений и на определяющее значение информации, знаний и информационных технологий.

Японский ученый Масуда Е. разработал одну из наиболее интересных философских концепций информационного общества. В соответствии с его концепцией компьютерная технология, дающая возможность замещать или усиливать умственный труд людей, станет в будущем базисом нового общества. Информационная революция будет производительной силой, обусловливающей массовое производство технологий, знаний, информации. Интеллектуальное производство займет ведущее место среди отраслей экономики.

Бенингер Дж., Нисбет Дж., Стоуньер Т. предполагают, что информация, будучи основным продуктом производства, в будущем может превратиться в сильнейший ресурс власти. Ученые не исключают возможности того, что сконцентрированная в одном источнике информация, способна привести к формированию нового типа тоталитарного государства. В настоящий момент уже можно говорить, что в мире в целом сформировалось информационное общество. Это обусловлено следующим. Во-первых, наряду с традиционными рынками (сырья, труда) формируется информационный рынок. Рынок информационных технологий считается наиболее динамично развивающимся.

Например, в 1954 г. всего 7% был удельный вес инвестиций в эту сферу, а в 1998 г. примерно 50%. Во всем мире спрос на компьютерную технику постоянно растет. Объемы ее торговли в мире превысили объемы торговли автомобилями. Около 510 млрд. долл. в год дохода приносит мировой рынок телекоммуникаций. Во-вторых, наиболее развитые в информационном плане страны переориентируют свои экономики на максимальное вовлечение непроизводственного сектора. В этих странах все отрасли, связанные с производством информации, знаний, информационных услуг и продуктов, развиваются быстрее, чем традиционная промышленность и занимают ведущее место в их (стран) экономическом развитии. В-третьих, повсеместно распространяются персональные компьютеры, программное обеспечение, различные сети связи. В-четвертых, колоссально возрастает объем доступных для всех информационных ресурсов, продуктов и услуг. [5; С. 86-114]

Информация становится уникальным и вечным ресурсом для человека. Ее уникальность только усиливается в современных условиях. На наш взгляд, основное назначение и важность информации для человека, общества, экономики состоит в ее использовании, обращении. При этом информация может выступать как: источник получения знаний и навыков; источник информирования о событиях и явлениях; средство формирования систем; ресурс при принятии решений; источник негативного влияния на общество и человека; объект интеллектуальной собственности; товар. Именно обращаясь, т.е. переходя от одного субъекта к другому в различных формах, информация приобретает ценность. Именно поэтому актуальность рассматриваемой нами проблемы ИБ не вызывает сомнений.

1.3 Основные проблемы обеспечения и угрозы информационной безопасности предприятия

В условиях постоянного роста количества известных и появления новых видов информационных угроз перед крупными предприятиями всё чаще встаёт задача обеспечения надёжной защиты корпоративных сетей от вредоносных программ и сетевых атак.

Работа с информацией в современных условиях отличается не только массивом и многообразием ресурсов, постоянным обновлением технологий ее обработки, повышенным вниманием и контролем над персоналом, но и грамотным уровнем управления фирмой.

Известно, что процесс массового внедрения компьютерной техники и информационных технологий наряду с прогрессивным началом неизбежно создает и дополнительные проблемы. Они связаны с реальными угрозами безопасности предприятий, с потерей стратегически важной информации, а вместе с этим и утратой управляемости компании.

В целях сокращения побочных явлений повсеместного использования новых информационных технологий руководство организаций определяет стратегию своей деятельности в информационной сфере. Стержневым началом такой стратегии должна быть информационная безопасность, определяемая как состояние защищенности интересов предприятий или организации в информационной сфере. Все направления деятельности предприятия, в которых прямо или косвенно используются информационные технологии, фокусируются в рамках обеспечения информационной безопасности.

Как показывает международная практика, основная проблема в сфере обеспечения информационной безопасности заключается в создании единого эффективного механизма, который позволял бы своевременно применять на практике нормативно-правовые, законодательные акты, отвечающие существующим социально-политическим и экономическим условиям и достижениям в области информационных технологий. Развитие технологий, сферы информатизации делает актуальным вопрос обеспечения информационной безопасности.

Проблема обеспечения информационной безопасности имеет две составляющие - технологическую и идеологическую. Первая - связана с разработкой и внедрением информационных ресурсов, системы защиты информационных баз, вторая - с распространением информации, ее воздействием на жизнь личности, общества, государства.

Практически любая новая технология влечет за собой социально-экономические изменения в обществе, влияет на международные отношения. На сегодняшний день можно говорить о создании общемирового информационного пространства. Информация, информационные технологии характеризуются такими свойствами как трансграничность, проницаемость, имеют возможность повсеместного использования, становятся доступными вне зависимости от национальных границ.

Под угрозами информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

- ознакомление с информацией различными путями и способами без нарушения ее целостности;

- модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

- разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим кластерам:

По величине принесенного ущерба:

- предельный, после которого фирма может стать банкротом;

- значительный, но не приводящий к банкротству;

- незначительный, который фирма за какое-то время может компенсировать и др.;

По вероятности возникновения:

- весьма вероятная угроза;

- вероятная угроза;

- маловероятная угроза;

По причинам появления:

- стихийные бедствия;

- преднамеренные действия;

По характеру нанесенного ущерба:

- материальный;

- моральный;

По характеру воздействия:

- активные;

- пассивные;

По отношению к объекту:

- внутренние;

- внешние.

Источниками внешних угроз являются:

- недобросовестные конкуренты;

- преступные группировки и формирования;

- отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

- администрация предприятия;

- персонал;

- технические средства обеспечения производственной и трудовой деятельности.

Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями.

В этом случае возможны такие ситуации:

- владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;

- источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;

- промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации. [1; с. 89-98]

Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).

"Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена" Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией (Рис. 2).

Рис. 2. Условия, способствующие неправомерному овладению конфиденциальной информацией.

А так же рассматривается отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.

Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:

- экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),

- парализации деятельности фирмы (31%),

- компрометации фирмы (11%),

- шантаж руководителей фирмы (10%);

Физическое подавление:

- ограбления и разбойные нападения на офисы, склады, грузы (73%),

- угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),

- убийства и захват заложников (5%);

Информационное воздействие:

- подкуп сотрудников (43%),

- копирование информации (24%),

- проникновение в базы данных (18%),

- продажа конфиденциальных документов (10%),

- подслушивание телефонных переговоров и переговоров в помещениях (5%), а также ограничение доступа к информации, дезинформация [6; с. 95-97]

Финансовое же подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.



1.4 Задачи и уровни обеспечения защиты информации

Целостность информации тесно связана с понятием надежности как технических, так и программных средств, реализующих процессы накопления, хранения и обработки информации. Из анализа угроз безопасности информации, целей и задач ее защиты следует, что достичь максимального (требуемого) уровня защищенности можно только за счет комплексного использования существующих методов и средств защиты. Комплексность является одним из принципов, которые должны быть положены в основу разработки, как концепции защиты информации, так и конкретных систем защиты.

Цели защиты информации на объектах защиты могут быть достигнуты при проведении работ по таким направлениям:

- определение охраняемых сведений об объектах защиты;

- оценка возможностей и степени опасности технических средств разведки;

- выявление возможных технических каналов утечки информации;

- анализ возможностей и опасности несанкционированного доступа к информационным объектам;

- анализ опасности уничтожения или искажения информации с помощью программно-технических воздействий на объекты защиты;

- разработка и реализация организационных, технических, программных и других средств и методов защиты информации от всех возможных угроз;

- создание комплексной системы защиты;

- организация и проведение контроля состояния и эффективности системы защиты информации;

- обеспечение устойчивого управления процессом функционирования системы защиты информации.

Процесс комплексной защиты информации должен осуществляться непрерывно на всех этапах. Реализация непрерывного процесса защиты информации возможна только на основе систем концептуального подхода и промышленного производства средств защиты, а создание механизмов защиты и обеспечение их надежного функционирования и высокой эффективности может быть осуществлено только специалистами высокой квалификации в области защиты информации.

Для граждан на первое место можно поставить целостность и доступность информации, обладание которой необходимо для осуществления нормальной жизнедеятельности. Например, в случаях искажения информации во время выборов конфиденциальность не играет ключевой роли, хотя отметим, что физические лица сегодня являются самыми незащищенными субъектами информационных отношений.

Итак, на основании проведенного исследования можно отметить, что предприятия рассматриваются как субъекты информационного права, а потому мы должны изучать информационные правоотношения, в которые они практически вступают, реализуя полномочия, регулируемые нормами различных отраслей права.

При этом одним из важных аспектов, на котором должно быть сосредоточено внимание, является вопрос обеспечения информационной безопасности предприятия. Если процедуры создания, получения специальных статусов и разрешений, прекращения деятельности и надзора за такой деятельностью в большей степени относятся к предмету других отраслей права, то обеспечение информационной безопасности, потребность в котором, как автор пытался показать, проявляется в течение всего времени существования предприятия и его взаимодействия с другими субъектами, практически полностью относится к предмету информационного права. В то же время как невозможно в полной мере выделить информационную составляющую в деятельности предприятия, так очень сложно разграничить правовое регулирование этой сферы различными отраслями права.

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводятся законы о защите информации, которые рассматривают проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

"Объединение компьютеров в компьютерную информационную сеть (КИС) привносит и новые трудности. Так как подразделение ведет работу с закрытой информацией, доступ к которой посторонним лицам строго запрещен, то возникает проблема защиты информации в КИС. Поэтому компьютерная информационная сеть (КИС) должна быть спроектирована таким образом, чтобы обеспечить надлежащую степень защищенности данных. Надо помнить, что от этого не должно страдать удобство пользователей и администраторов сети"

Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приводится к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе. [5; с. 87-93]

Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки и передачи подвергается различным случайным воздействиям.

Причинами таких воздействий могут быть:

- отказы и сбои аппаратуры;

- помехи на линии связи от воздействий внешней среды;

- ошибки человека как звена системы;

- системные и системотехнические ошибки разработчиков;

- структурные, алгоритмические и программные ошибки;

- аварийные ситуации;

- другие воздействия.

Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д.

Нет никаких сомнений, что на предприятии произойдут случайные или преднамеренные попытки взлома сети извне. В связи с этим обстоятельством требуется тщательно предусмотреть защитные мероприятия.

Для вычислительных систем характерны следующие штатные каналы доступа к информации:

- терминалы пользователей, самые доступные из которых это рабочие станции в компьютерных классах;

- терминал администратора системы;

- терминал оператора функционального контроля;

- средства отображения информации;

- средства загрузки программного обеспечения;

- средства документирования информации;

- носители информации;

- внешние каналы связи.

Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.

Сегодня для реализации эффективного мероприятия по защите информации требуется не только разработка средства защиты информации в сети и разработка механизмов модели защиты информации, а реализация системного подхода или комплекса защиты информации - это комплекс взаимосвязанных мер, описываемый определением "защита информации". Данный комплекс защиты информации, как правило, использует специальные технические и программные средства для организации мероприятий защиты информации.

Принято различать пять основных средств защиты информации:

- технические;

- программные;

- криптографические;

- организационные;

- законодательные.

Кроме того, модели защиты информации предусматривают ГОСТ "Защита информации", который содержит нормативно-правовые акты и морально-этические меры защиты информации и противодействие атакам извне. ГОСТ "Защита информации" нормирует определение защиты информации рядом комплексных мер защиты информации, которые проистекают из комплексных действий злоумышленников, пытающихся любыми силами завладеть секретными сведениями. И сегодня можно смело утверждать, что постепенно ГОСТ (защита информации) и определение защиты информации рождают современную технологию защиты информации в сетях компьютерных информационных системах и сетях передачи данных.

Любая комплексная система защиты информации после того, как производится аудит информационной безопасности объекта, начинает опираться на наиболее распространенные пути перехвата конфиденциальных данных, поэтому их важно знать, для того чтобы понимать, как разрабатывается комплексная система защиты информации.

Проблемы информационной безопасности в сфере технической защиты информации:

- перехват электронных излучений. Проблема решается обеспечением защиты информации, передаваемой по радиоканалам связи и обмена данными информационной системы;

- принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей. Проблема решается с помощью инженерной защитой информацией или физическая защита информации, передаваемой по связевым кабельным линиям передачи данных.

Сюда также относится защита информации в локальных сетях, защита информации в интернете и технические средства информационной безопасности;

- применение подслушивающих устройств;

- дистанционное фотографирование, защита информации реферат;

- перехват акустических излучений и восстановление текста принтера;

- копирование носителей информации с преодолением мер защиты;

- маскировка под зарегистрированного пользователя;

- маскировка под запросы системы;

- использование программных ловушек;

- использование недостатков языков программирования и операционных систем;

- незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

- злоумышленный вывод из строя механизмов защиты;

- расшифровка специальными программами зашифрованной информации;

- информационные инфекции;

Вышеперечисленные пути утечки информации по оценке информационной безопасности требуют высокого уровня технических знаний для того чтобы использовать наиболее эффективные методы и системы защиты информации, кроме этого необходимо обладать высоким уровнем аппаратных и программных средств защиты информации, так как взломщик, охотящийся за ценными сведениями, не пожалеет средств для того, чтобы обойти защиту и безопасность информации системы.

Например, физическая защита информации предотвращает использование технических каналов утечки данных к злоумышленнику.

Причина, по которой могут появиться подобные "дыры" - конструктивные и технические дефекты решений защиты информации от несанкционированного доступа, либо физический износ элементов средств обеспечения информационной безопасности.

Это дает возможность взломщику устанавливать преобразователи, которые образуют некие принципы действующего канала передачи данных, и способы защиты информации должны предусматривать и идентифицировать подобные "жучки".

Вывод: сегодня на рынке можно увидеть различные решения для обеспечения безопасности информации. Количество средств обеспечения информационной безопасности, не требующих обычного для систем многомесячного внедрения, продолжает увеличиваться.



Глава II. Разработка методических основ обеспечения информационной безопасности предприятия

2.1 Анализ рисков и принципы информационной безопасности предприятия

Цели и задачи обеспечения информационной безопасности не могут быть отдельно от бизнес целей и задач организации. Сфера деятельности организации, способы ведения бизнеса, конкурентная среда, применяемые информационные системы, квалификация и мотивация персонала компании, и некоторые прочие факторы изъявляют ключевое воздействие на карту операционных рисков организации, охватывая риски ИБ, а используемые защитные пределы обязаны уменьшать актуальные риски до терпимой величины.

Разбор рисков информационной безопасности позволяет открыть критичные факторы, отрицательно оказывающие влияние на основные бизнес-процессы предприятия, и принимать действенные меры для их устранения или минимизации подобного воздействия. Упущение очень царственной для бизнеса информации в конечном итоге приводит к существенным финансово-экономическим утратам. Не так важно, на какой-либо стадии развития находится информационная система организации, она обязана отвечать установленному комплексу требований к обеспечению информационной безопасности. Имеются требования регуляторов, свободные от области, а имеются запросы, характерные для установленного сектора экономики. Также имеются "лучшие практики", разрешающие снабдить информационную безопасность на величине, соответствующей целям и запросам данного сегмента бизнеса.

Совершая оценивание активов компании, как правило, специалисты могут определить источники проблем (благодаря основанию моделей угроз и нарушителей, нахождения уязвимых мест), происходит оценка имеющейся меры и средств защиты, так же происходит оценка рисков и в тоже время надежности информационной безопасности данной компании, происходит внедрение наилучших решений по сокращению выявляемых угроз и рисков.

В конечном итоге уменьшаются риски и угрозы, объединенные с вероятными экономическими и репутационными утратами, утратами имиджа, приходящими в связи угрозами информационной безопасности, очевидно, научить рациональное обоснование финансовых утрат на информационную безопасность, повысить уровень защищенности информации компании, которая обрабатывается и содержится в автоматизированных информационных системах.

Современные методы управления рисками дают возможность разрешить перечень задач перспективного стратегического развития компании. Во-первых, количественно дать оценку текущего уровня информационной безопасности компании, что вызовет раскрытие рисков на правовом, организационно-управленческом, технологическом и техническом уровнях обеспечения защиты информации. Во-вторых, в систему риск-менеджмента в компании, возможно, будет введена политика безопасности и планы улучшения корпоративной системы защиты информации для того, чтобы достигнуть достаточной степени защищенности информационных активов организации.