Материал: Изучение проблемы обеспечения информационной безопасности предприятия

Скачать

Заказать новую работу

Внимание! Если размещение файла нарушает Ваши авторские права, то обязательно сообщите нам

"Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена" Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией (Рис. 2).

Рис. 2. Условия, способствующие неправомерному овладению конфиденциальной информацией.

А так же рассматривается отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.

Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:

-       экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),

-       парализации деятельности фирмы (31%),

-       компрометации фирмы (11%),

-       шантаж руководителей фирмы (10%);

Физическое подавление:

-       ограбления и разбойные нападения на офисы, склады, грузы (73%),

-       угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),

-       убийства и захват заложников (5%);

Информационное воздействие:

-       подкуп сотрудников (43%),

-       копирование информации (24%),

-       проникновение в базы данных (18%),

-       продажа конфиденциальных документов (10%),

-       подслушивание телефонных переговоров и переговоров в помещениях (5%), а также ограничение доступа к информации, дезинформация [6; с. 95-97]

Финансовое же подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.

1.4 Задачи и уровни обеспечения защиты информации

Целостность информации тесно связана с понятием надежности как технических, так и программных средств, реализующих процессы накопления, хранения и обработки информации. Из анализа угроз безопасности информации, целей и задач ее защиты следует, что достичь максимального (требуемого) уровня защищенности можно только за счет комплексного использования существующих методов и средств защиты. Комплексность является одним из принципов, которые должны быть положены в основу разработки, как концепции защиты информации, так и конкретных систем защиты.

Цели защиты информации на объектах защиты могут быть достигнуты при проведении работ по таким направлениям:

-       определение охраняемых сведений об объектах защиты;

-       оценка возможностей и степени опасности технических средств разведки;

-       выявление возможных технических каналов утечки информации;

-       анализ возможностей и опасности несанкционированного доступа к информационным объектам;

-       анализ опасности уничтожения или искажения информации с помощью программно-технических воздействий на объекты защиты;

-       разработка и реализация организационных, технических, программных и других средств и методов защиты информации от всех возможных угроз;

-       создание комплексной системы защиты;

-       организация и проведение контроля состояния и эффективности системы защиты информации;

-       обеспечение устойчивого управления процессом функционирования системы защиты информации.

Процесс комплексной защиты информации должен осуществляться непрерывно на всех этапах. Реализация непрерывного процесса защиты информации возможна только на основе систем концептуального подхода и промышленного производства средств защиты, а создание механизмов защиты и обеспечение их надежного функционирования и высокой эффективности может быть осуществлено только специалистами высокой квалификации в области защиты информации.

Для граждан на первое место можно поставить целостность и доступность информации, обладание которой необходимо для осуществления нормальной жизнедеятельности. Например, в случаях искажения информации во время выборов конфиденциальность не играет ключевой роли, хотя отметим, что физические лица сегодня являются самыми незащищенными субъектами информационных отношений.

Итак, на основании проведенного исследования можно отметить, что предприятия рассматриваются как субъекты информационного права, а потому мы должны изучать информационные правоотношения, в которые они практически вступают, реализуя полномочия, регулируемые нормами различных отраслей права.

При этом одним из важных аспектов, на котором должно быть сосредоточено внимание, является вопрос обеспечения информационной безопасности предприятия. Если процедуры создания, получения специальных статусов и разрешений, прекращения деятельности и надзора за такой деятельностью в большей степени относятся к предмету других отраслей права, то обеспечение информационной безопасности, потребность в котором, как автор пытался показать, проявляется в течение всего времени существования предприятия и его взаимодействия с другими субъектами, практически полностью относится к предмету информационного права. В то же время как невозможно в полной мере выделить информационную составляющую в деятельности предприятия, так очень сложно разграничить правовое регулирование этой сферы различными отраслями права.

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводятся законы о защите информации, которые рассматривают проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

"Объединение компьютеров в компьютерную информационную сеть (КИС) привносит и новые трудности. Так как подразделение ведет работу с закрытой информацией, доступ к которой посторонним лицам строго запрещен, то возникает проблема защиты информации в КИС. Поэтому компьютерная информационная сеть (КИС) должна быть спроектирована таким образом, чтобы обеспечить надлежащую степень защищенности данных. Надо помнить, что от этого не должно страдать удобство пользователей и администраторов сети"

Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приводится к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе. [5; с. 87-93]

Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки и передачи подвергается различным случайным воздействиям.

Причинами таких воздействий могут быть:

-       отказы и сбои аппаратуры;

-       помехи на линии связи от воздействий внешней среды;

-       ошибки человека как звена системы;

-       системные и системотехнические ошибки разработчиков;

-       структурные, алгоритмические и программные ошибки;

-       аварийные ситуации;

-       другие воздействия.

Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д.

Нет никаких сомнений, что на предприятии произойдут случайные или преднамеренные попытки взлома сети извне. В связи с этим обстоятельством требуется тщательно предусмотреть защитные мероприятия.

Для вычислительных систем характерны следующие штатные каналы доступа к информации:

-       терминалы пользователей, самые доступные из которых это рабочие станции в компьютерных классах;

-       терминал администратора системы;

-       терминал оператора функционального контроля;

-       средства отображения информации;

-       средства загрузки программного обеспечения;

-       средства документирования информации;

-       носители информации;

-       внешние каналы связи.

Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.

Сегодня для реализации эффективного мероприятия по защите информации требуется не только разработка средства защиты информации в сети и разработка механизмов модели защиты информации, а реализация системного подхода или комплекса защиты информации - это комплекс взаимосвязанных мер, описываемый определением "защита информации". Данный комплекс защиты информации, как правило, использует специальные технические и программные средства для организации мероприятий защиты информации.

Принято различать пять основных средств защиты информации:

-       технические;

-       программные;

-       криптографические;

-       организационные;

-       законодательные.

Кроме того, модели защиты информации предусматривают ГОСТ "Защита информации", который содержит нормативно-правовые акты и морально-этические меры защиты информации и противодействие атакам извне. ГОСТ "Защита информации" нормирует определение защиты информации рядом комплексных мер защиты информации, которые проистекают из комплексных действий злоумышленников, пытающихся любыми силами завладеть секретными сведениями. И сегодня можно смело утверждать, что постепенно ГОСТ (защита информации) и определение защиты информации рождают современную технологию защиты информации в сетях компьютерных информационных системах и сетях передачи данных.

Любая комплексная система защиты информации после того, как производится аудит информационной безопасности объекта, начинает опираться на наиболее распространенные пути перехвата конфиденциальных данных, поэтому их важно знать, для того чтобы понимать, как разрабатывается комплексная система защиты информации.

Проблемы информационной безопасности в сфере технической защиты информации:

-       перехват электронных излучений. Проблема решается обеспечением защиты информации, передаваемой по радиоканалам связи и обмена данными информационной системы;

-       принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей. Проблема решается с помощью инженерной защитой информацией или физическая защита информации, передаваемой по связевым кабельным линиям передачи данных.

Сюда также относится защита информации в локальных сетях, защита информации в интернете и технические средства информационной безопасности;

-       применение подслушивающих устройств;

-       дистанционное фотографирование, защита информации реферат;

-       перехват акустических излучений и восстановление текста принтера;

-       копирование носителей информации с преодолением мер защиты;

-       маскировка под зарегистрированного пользователя;

-       маскировка под запросы системы;

-       использование программных ловушек;

-       использование недостатков языков программирования и операционных систем;

-       незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

-       злоумышленный вывод из строя механизмов защиты;

-       расшифровка специальными программами зашифрованной информации;

-       информационные инфекции;

Вышеперечисленные пути утечки информации по оценке информационной безопасности требуют высокого уровня технических знаний для того чтобы использовать наиболее эффективные методы и системы защиты информации, кроме этого необходимо обладать высоким уровнем аппаратных и программных средств защиты информации, так как взломщик, охотящийся за ценными сведениями, не пожалеет средств для того, чтобы обойти защиту и безопасность информации системы.

Смотрите также:

«ДОХОДЫ, РАСХОДЫ И ПРИБЫЛЬ КОММЕРЧЕСКОГО БАНКА.»
«ДОХОДЫ, РАСХОДЫ И ПРИБЫЛЬ КОММЕРЧЕСКОГО БАНКА.»
Значение, сущность и содержание социально — педагогической деятельности в организации для детей-сирот и детей, оставшихся без попечения родителей
Проактивные методы PR-деятельности российских авиационных компаний «Россия», «Азимут»
__RGR2
__RGR2
_10_Эмиль Золя для эл версии
_11_А. Франс для эл версии
_3 тема - Диффузия