Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии



Скачать 236.78 Kb.
страница1/3
Дата01.02.2019
Размер236.78 Kb.
#4780
Название файлаглава 1 (1).docx
ТипГлава
  1   2   3

Глава 1. Информационная безопасность и способы ее обеспечения.

    1. Важность Информационной безопасности на предприятии.

Так что же такое информационная безопасность? Обычно под ней понимают защищенность информации и всей компании от преднамеренных или случайных действий, приводящих к нанесению ущерба ее владельцам или пользователям. Обеспечение информационной безопасности должно быть направленно прежде всего на предотвращение рисков, а не на ликвидацию их последствий. Именно принятие предупредительных мер по обеспечению конфиденциальности, целостности, а также доступности информации и является наиболее правильным подходом в создании системы информационной безопасности.

Любая утечка информации может привести к серьезным проблемам для компании – от значительных финансовых убытков до полной ликвидации. Конечно, проблема утечек появилась не сегодня, промышленный шпионаж и переманивание квалификационных специалистов существовали еще и до эпохи компьютеризации. Но именно с появлением ПК и интернета возникли новые приемы незаконного получения информации. Если раньше для этого необходимо было украсть и вынести из фирмы целые кипы бумажных документов, то сейчас огромные объемы важных сведений можно запросто слить на флешку, помещающуюся в портмоне, отправить по сети, прибегнув к использованию семейства руткитов, троянов, бэкдоров, кейлоггеров и ботнетов, либо просто уничтожить посредством вирусов, устроив диверсию.

Чаще всего «утекают» из компаний документы финансового характера, технологические и конструкторские разработки, логины и пароли для входа в сеть других организаций. Но серьезный вред может нанести и утечка персональных данных организаций. Но серьезный вред может нанести и утечка персональных данных сотрудника. Особенно это актуально для западных стран, где судебные иски из-за таких утечек нередко приводят к огромным штрафам, после выплаты которых компании терпят серьезные убытки.

Случается и так, что утечка приносит вред компании через несколько месяцев или лет после того, как она произошла, попав в руки конкурентам или журналистам. Именно поэтому защита должна быть комплексной. Не стоит делить информацию на очень важную и менее важную. Все, что касается деятельности компании и не предназначено для опубликования, должно оставатся внутри компании и быть защищено от угроз.

Конфиденциальная информация представляет огромный интерес для конкурирующих фирм. Именно она становится причиной посягательств со стороны злоумышленников.

Многие проблемы связаны с недооценкой важности угрозы, в результате чего для предприятия это может обернуться крахом и банкротством. Даже единичный случай халатности рабочего персонала может принести компании многомиллионныеубытки и потерю доверия клиентов. Угрозам подвергаются данные о составе, статусе и деятельности компании. Источниками таких угроз являются её конкуренты, коррупционеры и преступники. Особую ценность для них представляет ознакомление с охраняемой информацией, а также ее модификация в целях причинения финансового ущерба. К такому исходу может привести утечка информации даже на 20%. Иногда потеря секретов компании может произойти случайно, по неопытности персонала или из-за отсутствия систем защиты.

1.2 Виды угроз

Все угрозы информационным ресурсам предприятия можно отнести к одной из следующих категорий:



  1. «Угрозы доступности информации, хранимой и обрабатываемой и информации, передаваемой по каналам связи;

  2. Угрозы целостности информации, хранимой и обрабатываемой и информации, передаваемой по каналам связи;

  3. Угрозы конфиденциальности информации хранимой и обрабатываемой и информации, передаваемой по каналам связи».1

«Угрозы безопасности информационных ресурсов, сточки зрения реализации, можно разделить на следующие группы:

  1. Угрозы, реализуемые с использованием технических средств;

  2. Угрозы, реализуемые с использованием программных средств;

  3. Угрозы, реализуемые путем использования технических каналов утечки информации».2

Первыми, в этой работе, будут описаны угрозы, реализуемые с использованием технических средств, которые включают в себя приемо-передающее и коммутирующее оборудование, оборудование серверов и рабочих станций, а также линии связи. К этому классу принадлежат угрозы доступности, целостности и, в некоторых случаях конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи, связанные с повреждениями и отказами технических средств, приемо-передающего и коммутирующего оборудования и повреждением линий связи.

Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя:



  • Вывод из строя;

  • Несанкционированное изменение конфигурации активного сетевого оборудования и приемо-передающего оборудования;

  • Физическое повреждение технических средств, линий связи, сетевого и каналообразующего оборудования;

  • Проблемы с питанием технических средств;

  • Отказы технических средств;

  • Установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты;

  • Хищение технических средств и долговременных носителей конфиденциальной информации вследствие отсутствия контроля над их использованием и хранением.

Следующими будут описаны угрозы, реализуемые с использованием программных средств это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением несанкционированного доступа к информации, хранимой и обрабатываемой, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО. Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение несанкционированного доступа к информации баз данных и файловых систем корпоративной сети, данным, конфигурации маршрутизаторов и другого активного сетевого оборудования.

В этом классе рассматриваются следующие основные виды угроз:



  • Внедрение вирусов и других разрушающих программных воздействий;

  • Нарушение целостности исполняемых файлов;

  • Ошибки кода и конфигурации ПО, активного сетевого оборудования;

  • Модификация ПО;

  • Наличие в ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;

  • Использование уязвимостей ПОдля взлома программной защиты с целью получения несанкционированного доступа к информационным ресурсам или нарушения их доступности;

  • Выполнение одним пользователем несанкционированных действий от имени другого пользователя;

  • Раскрытие, перехват и хищение секретных кодов и паролей;

  • Загрузка и установка в системе не лицензионного, непроверенного системного и прикладного ПО;

Отдельно следует рассмотреть угрозы, связанные с использованием сетей передачи данных. Данный класс угроз характеризуется получением внутренним или внешним нарушителем сетевого доступа к серверам баз данных и файловым серверам, маршрутизаторам и активному сетевому оборудованию. Здесь выделяются следующие виды угроз, характерные для предприятия:

  • перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика;

  • замена, вставка, удаление или изменение данных пользователей в информационном потоке;

  • перехват информации, передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации;

  • статистический анализ сетевого трафика.

Последними в этом списке находятся угрозы утечки информации по техническим каналам связи.

Виды технических каналов утечки информации:

«При проведении работ с использованием конфиденциальной информации и эксплуатации технических средств возможны следующие каналы утечки или нарушения целостности информации или работоспособности технических средств:


  • побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;

  • акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации;

  • несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;

  • хищение технических средств с хранящейся в них информацией или отдельных носителей информации;

  • просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

  • воздействие на технические или программные средства в целях нарушения целостности информации, работоспособности технических средств».3

Кроме перехвата информации техническими средствами возможно непреднамеренное попадание конфиденциальной информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Утечка информации возможна по следующим каналам:

  • Радиоканалы;

  • ИК-канал;

  • Ультразвуковой канал;

  • Проводные линии.

1.3.Существующие ИБ на предприятии.

Существует немалое количество средств обеспечения информационной безопасности предприятия. В этой работе был исследован комплекс инженерно-технической защиты(ИТЗ), состоящий из:



  • Физических средств защиты;

  • Аппаратных средств защиты;

  • Программной защиты информации;

  • Криптографических средств защиты;

Рассмотрим часть комплекса последовательно. К физическим средствам защиты можно отнести разнообразные приспособления, конструкции, изделия, и прочие устройства для создания барьеров на пути злоумышленников. К подобным средствам защиты относятся устройства любого типа, воспрещающие несанкционированный доступ (НСД) и других несущих вред действий. Подобные средства применяются для охраны территории предприятия, зданий, помещений, оборудования, продукции и финансов, а так же для наблюдения за ними. Особо нужно выделить контроль доступа в охраняемые здания и помещения. Все подобные средства защиты делятся на три типа, по типу воздействия, на предупреждающие, обнаруживающие и ликвидирующие. Согласно учебному пособию Корнюшина П.Н., Костерина А.С.«В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

  • охранные и охранно-пожарные системы;

  • охранное телевидение;

  • охранное освещение;

  • средства физической защиты».4

Следующий набор средств - аппаратные средства защиты информации. Они включают в себя разного рода технические устройства, созданные для защиты информации от разглашения, утечки и несанкционированного доступа.К ним относятся самые разные по принципу работы, устройству и возможностям технические средства, обеспечивающие пресечение разглашения, защиту от утечки и противодействие НСД к источникам конфиденциальной информации.

Использование аппаратных средств защиты информации позволяет решать такие задачи как проведение специальных исследований технических средств на наличие возможных каналов утечки информации, могутпомочь в обнаружении каналов утечки информации и локализовать их, способствуют обнаружению средств промышленного шпионажа, и останавливают НСД к конфиденциальной информации. Классифицируются на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки. Аппаратные средства и методы защиты распространены очень широко, однако при раскрытии принципов действия могут потерять большую часть своей полезности.

Еще одна немаловажная часть комплекс инженерно-технической защиты - программная защита информации.Состоит из специальных программ, реализующих принципы информационной безопасности. Существует четыре направления программ направленных на защиту информации.Первое это защита информации от несанкционированного доступа. Состоит из трех основных функций:


  • «идентификация субъектов и объектов;

  • разграничение доступа к вычислительным ресурсам и информации;

  • контроль и регистрация действий с информацией и программами.»5

Самым популярным методом идентификации является парольная идентификация. Однако надо учитывать, что пароль можно перехватить, подслушать или подсмотреть и даже угадать.

Второе направление это защита от копирования. Средства защиты от копирования предотвращают нелегальное копирование программного обеспечения и являются в настоящее время единственно надежным средством, которое защищает авторское право разработчиков. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом может быть определенная часть компьютера или специальное устройство.

Последнее направление это защита от разрушения информации. Из-за того что причины разрушения информации весьма разнообразны, проведение защитных мероприятий обязательно для всех, кто пользуется компьютером.

Программные средства и методы защиты являются одними из самых надежных.

Четвертая часть ИТЗ это криптографические средства.Это специальные математические средства защиты информации, передаваемой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.Криптографические методы занимают почти самое важное место и выступают самым надежным средством обеспечения защиты информации на длительные периоды.

1.4 Правовая база обеспечения информационной безопасности предприятия

Согласно федеральному закону № 149 "Об информации, информационных технологиях и о защите информации", "защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1)обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2)соблюдение конфиденциальности информации ограниченного доступа;

3)реализацию права на доступ к информации" .

Правовые основы защиты информации - это законодательный орган защиты информации, в котором можно выделить правовое обеспечения информационной безопасности информации и информационной безопасности предприятия.

Правовую охрану и защиты информации составляют нормативные правовые акты, различающиеся по юридической силе: Конституция Российской Федерации, Международные договоры Российской Федерации, Кодексы Российской Федерации, Федеральные законы Российской Федерации.

Конституция РФ (ст.23 определяет право граждан на тайну переписки, телефонных, телеграфных и иных сообщений);

Гражданский кодекс РФ (в ст.139 устанавливается право на возмещение убытков от утечки с помощью незаконных методов информации, относящейся к служебной и коммерческой тайне);

Уголовный кодекс РФ (ст.272 устанавливает ответственность за неправомерный доступ к компьютерной информации, ст.273 - за создание, использование и распространение вредоносных программ для ЭВМ, ст.274 - за нарушение правил эксплуатации ЭВМ, систем и сетей);

Федеральный закон № 152 "О персональных данных". ФЗ регулирует отношения между органами государственной власти во время поиска важных сведений и обеспечивает информационную безопасность персональных данных;

Федеральный закон № 98 "О коммерческой тайне". В соответствии со ст. 3 ФЗ от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» под коммерческой тайной предприятия понимается конфиденциальность информации, позволяющая её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Под информацией, составляющей коммерческую тайну в соответствии с указанным законом понимаются, сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны



Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ (ст.5 устанавливает разделение информации на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа), ст.16 определяет порядок защиты информации);

Федеральный закон "О государственной тайне" от 21.07.93 № 5485-1 (ст.5 устанавливает перечень сведений, составляющих государственную тайну; ст.8 - степени секретности сведений и грифы секретности их носителей: "особой важности", "совершенно секретно" и "секретно"; ст.20 - органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов; ст.28 - порядок сертификации средств защиты информации, относящейся к государственной тайне);

Федеральные законы "О лицензировании отдельных видов деятельности" от 08.08.2001 № 128-ФЗ, "О связи" от 16.02.95 № 15-ФЗ, "Об электронной цифровой подписи" от 10.01.02 № 1-ФЗ, "Об авторском праве и смежных правах" от 09.07.93 № 5351-1, "О правовой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 № 3523-1 (ст.4 определяет условие признания авторского права - знак © с указанием правообладателя и года первого выпуска продукта в свет; ст.18 - защиту прав на программы для ЭВМ и базы данных путем выплаты компенсации в размере от 5000 до 50 000 минимальных размеров оплаты труда при нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).

    1. Модель информационной системы с позиции безопасности

Для реализации моделирования бизнес процесса я выбрала программу Erwin Process Modeler. С этой программой мы сможем описать, проанализировать и смоделировать.

Модель информационной безопасности предприятия предоставлена на рисунке 2.




Скачать 236.78 Kb.

Поделитесь с Вашими друзьями:
  1   2   3

Похожие:

Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconИнформационная безопасность
Отдельные сферы деятельности (системы государственного управления, банки, информационные сети и т п.) требуют специальных мер обеспечения...
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconРазработка информационной безопасности на предприятии
Целью настоящего Положения является обеспечение безопасности объектов защиты предприятия от всех видов угроз, внешних и внутренних,...
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconРеализация информационной безопасности
Двухэтажное здание имеющее два входа, на данный момент пропускной режим на предприятии реализован с помощью электронных ключей
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии icon1. Понятие экономической безопасности предпринимательства
Экономическая безопасность предпринимательства зависит прежде всего от наличия правовой системы его защиты и эффективного механизма...
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconБезопасность продовольственного сырья и продуктов питания
Критерии обеспечения продовольственной безопасности России. Продовольственная независимость государства
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconКафедра мировой экономики и менеджмента Курсовая работа экономическая безопасность функционирования и развития строительной организации
Теоретико-методические положения обеспечения экономической безопасности предприятия
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconЛекция № Информационная система железнодорожного транспорта. Структура исижт
Первый уровень обеспечивающий, представлен информационной средой и инфраструктурой информатизации
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconПринципы обеспечения пожарной безопасности зданий и сооружений
Пожарная безопасность объекта защиты — это состояние объекта защиты, характеризуемое возможностью предотвращения возникновения и...
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconОбеспечение безопасности персональных данных
Гост "Защита информации. Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации,...
Информационная безопасность и способы ее обеспечения. Важность Информационной безопасности на предприятии iconКоллективная безопасность Ахмедов Атабек
Коллективная безопасность представляет систему совместных действий государств, установленную Уставом ООН с целью поддержания международного...




База данных защищена авторским правом ©refnew.ru 2022
обратиться к администрации

    Главная страница
Контрольная работа
Курсовая работа
Теоретические основы
Методические указания
Лабораторная работа
Методические рекомендации
Практическая работа
Рабочая программа
Учебное пособие
Общая характеристика
Теоретические аспекты
История развития
Пояснительная записка
Дипломная работа
Самостоятельная работа
Методическая разработка
Общие положения
Экономическая теория
Методическое пособие
Направление подготовки
Исследовательская работа
Федеральное государственное
Физическая культура
Теоретическая часть
Усиление колониальной
Общие сведения
Общая часть
государственное бюджетное
реакция казахского
Организация работы
Экономическая безопасность
Общие вопросы
Конституционное право
Управления государственных
Техническое задание
Образовательная программа
Основная часть
прохождении производственной
программное обеспечение
Выпускная квалификационная
Обеспечение безопасности
Правовое регулирование
Российская академия
Понятие сущность
История создания
Техническое обслуживание
муниципальное управление
Земельное право
Административное право
академия народного
образовательное частное