Материал: Обеспечение информационной безопасности предприятия

Обеспечение информационной безопасности предприятия

Содержание

Введение. Теоретическое обоснование изучения проблемы, обеспечения информационной безопасности предприятия

.1 Сущность информации, ее классификация

.2 Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Разработка методических основ обеспечения информационной безопасности предприятия

.1 Анализ рисков и принципы информационной безопасности предприятия

.2 Разработка комплекса мер по обеспечению информационной безопасности предприятия

Заключение

Список использованных источников

Введение

Актуальность работы заключается в том, что информация, бесспорно, выступает основой всего процесса управления в организации, труд управленца и заключается в ее сборе, изучении, обработке и грамотном толковании.

От уровня организации сбора, обработки и передачи информации в целом зависит эффективность управления, а также качество принимаемых управленческих решений в частности.

Определённо, самое главное заключается в том то, что информация является, во-первых предметом, во-вторых средством и в-третьих продуктом труда управленца.

Актуальность проблемы заключается в том, что информация может оказывать колоссальное воздействие и на человека, и на технику, как положительное, так и отрицательное, в частности, вызывая у людей неправильное поведение, плохое настроение, а путем установки в компьютере специальных закладок можно извне вывести из строя аппаратуру или прервать ее работу. Но проблема информационной безопасности предприятия, являясь проблематикой, как общей теории организации, так и информационного права, сегодня приобретает новые аспекты. Их появление предопределяется в первую очередь качественными изменениями самого социума и его внешней среды.

Развитие общества, научно-технического прогресса со всей ясностью показывает, что среда обитания человека отнюдь не обладает такими качествами, как прозрачность, определённость, стабильность, что характерно для состояния безопасности в целом и информационной безопасности в частности.

Поэтому целью написания реферата является изучение проблемы обеспечения информационной безопасности предприятия.

Для реализации поставленной цели необходимо решить следующие задачи:

.Разобраться в сущности информации, ее классификациях.

.Дать анализ информационной безопасности в эпоху постиндустриального общества.

.Исследовать основные проблемы и угрозы обеспечения информационной безопасности предприятия.

.Объяснить задачи и уровни обеспечения защиты информации.

Предмет: анализ мер по повышению информационной безопасности предприятия.

Глава I. Теоретическое обоснование изучения проблемы, обеспечения информационной безопасности предприятия

.1 Сущность информации, ее классификация

Под информационной безопасностью понимают состояние защищенности информационной среды, обеспечивающее ее формирование и развитие[1; C.315].

Управление предприятием не может эффективно проводиться без достаточной оперативной, надеждой, своевременной и достоверной информации. Информация является основой управленческого процесса, и от того, насколько она совершенна, во многом зависит качество управления предприятием. Информационная деятельность менеджера требует от него чёткой организации процесса сбора, анализа и обработки информации, причём он должен уметь определять важность или второстепенность поступающей информации. Опытный менеджер также должен иметь упорядочивать коммуникации и обмен информацией в рамках предприятия и фирмы.

Управляющая система получает от управляемой системы информацию о состоянии заданных ею технико-экономических параметров в процессе производственной и финансово-хозяйственной деятельности. На основе полученной информации управляющая система (менеджмент) вырабатывает команды управления и передует их в управляемую систему для исполнения. Информация, которая функционирует на предприятии в процессе управления, может быть классифицирована следующим образом:

• по форме отображения (визуальная, аудиовизуальная и смешанная);
• по форме представления (цифровая, буквенная, кодированная);
• по роли в процессе управления (аналитическая, прогнозная, отчётная, научная, нормативная)
• по качеству (достоверная, вероятностно достоверная, недостоверная, ложная);
• по возможности использования (необходимая, достаточная, избыточная);
• по степени обновляемое (постоянная, переменная);
• по степени деятельности предприятия (экономическая, управленческая, социальная, технологическая);
• по источнику возникновения (внутриорганизационная, внешняя);
• по степени преобразования (первичная, производная, обобщенная);
• по виду носителя (печатный текст, микрофильм, кинофильм, видеофильм, машинный носитель);
• по времени поступления (периодическая, постоянная, эпизодическая, случайная) [1; C.7].
• В качестве примера приведем три основных направления сбора информации о конкуренте.
• Информация о рынке:
• цены, скидки, условия договоров, спецификация продукта;
• объем, история, тенденция и прогноз для конкретного продукта;
• доля на рынке и тенденции ее изменения;
• рыночная политика и планы;
• отношения с потребителями и репутация;
• численность и размещение торговых агентов;
• каналы, политика и методы сбыта;
• программа рекламы.
• Информация о производстве и продукции:
• оценка качества и эффективности;
• номенклатура изделий;
• технология и оборудование;
• уровень издержек;
• производственные мощности;
• размещение и размер производственных подразделений и складов;
• способ упаковки;
• доставка;
• возможности проведения научно-исследовательских работ (НИР).
• Информация об организационных особенностях и финансах:
• определение лиц, принимающих ключевые решения;
• философия лиц, принимающих ключевые решения;
• финансовые условия и перспективы;
• программы расширения и приобретений;
• главные проблемы и возможности;
• программа НИР.

Большое внимание со стороны менеджера должно уделяться вопросам сохранности информации и предотвращения ее утечки [3; C.180].

Интересным представляется высказывание английских специалистов в области защиты информации: "Нет смысла тщательно проверять помещение перед заседанием, если кофе в помещение подается непроверенным сотрудником без соответствующего наблюдения"

В зависимости от формы представления информация может быть разделена:

1. Речевая информация. Возникает в ходе ведения в помещениях разговоров, работы систем связи, звукоусиления и звуковоспроизведения.
2. Телекоммуникационная информация. Циркулирует в технических средствах обработки и хранения информации, а также в каналах связи при ее передаче.
3. Документированная информация (документы). Относят информацию, представленную на материальных носителях вместе с идентифицирующими ее реквизитами.

Информацию разделяют на открытую и ограниченного доступа. К информации ограниченного доступа относятся государственная тайна и конфиденциальная информация. Понятие "конфиденциальная информация" стало неотъемлемой частью российской юридической лексики. В настоящий момент оно используется в нескольких сотнях нормативных правовых актов Российской Федерации. Также данный термин все чаще применяется в различных договорах: можно встретить целые разделы или даже отдельные соглашения о конфиденциальности. Широкое распространение получило включение положений о запрете на распространение сведений конфиденциального характера в трудовых договорах.

Но при этом многие руководители и предприниматели на деле не вполне четко представляют себе, что входит в понятие "конфиденциальная информация", как ее следует охранять и как результаты подобной работы могут влиять на экономическое положение фирмы. Согласно ФЗ "Об информации, информационных технологиях и защите информации" понятие "конфиденциальная информация" - это обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя[7; C.180].

.2 Основные проблемы обеспечения и угрозы информационной безопасности предприятия

информация безопасность риск угроза

В условиях постоянного роста количества известных и появления новых видов информационных угроз перед крупными предприятиями всё чаще встаёт задача обеспечения надёжной защиты корпоративных сетей от вредоносных программ и сетевых атак.

Работа с информацией в современных условиях отличается не только массивом и многообразием ресурсов, постоянным обновлением технологий ее обработки, повышенным вниманием и контролем над персоналом, но и грамотным уровнем управления фирмой.

Известно, что процесс массового внедрения компьютерной техники и информационных технологий наряду с прогрессивным началом неизбежно создает и дополнительные проблемы. Они связаны с реальными угрозами безопасности предприятий, с потерей стратегически важной информации, а вместе с этим и утратой управляемости компании.

В целях сокращения побочных явлений повсеместного использования новых информационных технологий руководство организаций определяет стратегию своей деятельности в информационной сфере. Стержневым началом такой стратегии должна быть информационная безопасность, определяемая как состояние защищенности интересов предприятий или организации в информационной сфере. Все направления деятельности предприятия, в которых прямо или косвенно используются информационные технологии, фокусируются в рамках обеспечения информационной безопасности.

Как показывает международная практика, основная проблема в сфере обеспечения информационной безопасности заключается в создании единого эффективного механизма, который позволял бы своевременно применять на практике нормативно-правовые, законодательные акты, отвечающие существующим социально-политическим и экономическим условиям и достижениям в области информационных технологий. Развитие технологий, сферы информатизации делает актуальным вопрос обеспечения информационной безопасности.

Проблема обеспечения информационной безопасности имеет две составляющие - технологическую и идеологическую. Первая - связана с разработкой и внедрением информационных ресурсов, системы защиты информационных баз, вторая - с распространением информации, ее воздействием на жизнь личности, общества, государства[ 3; C.238 ].

Практически любая новая технология влечет за собой социально-экономические изменения в обществе, влияет на международные отношения. На сегодняшний день можно говорить о создании общемирового информационного пространства. Информация, информационные технологии характеризуются такими свойствами как трансграничность, проницаемость, имеют возможность повсеместного использования, становятся доступными вне зависимости от национальных границ.

Такими действиями являются:

• ознакомление с информацией различными путями и способами без нарушения ее целостности;
• модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
• разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
• В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.
• Глава II. Разработка методических основ обеспечения информационной безопасности предприятия
• 2.1 Анализ рисков и принципы информационной безопасности предприятия
• Цели и задачи обеспечения информационной безопасности не могут быть отдельно от бизнеса целей и задач организации. Сфера деятельности организации, способы ведения бизнеса, конкурентная среда, применяемые информационные системы, квалификация и мотивация персонала компании, и некоторые прочие факторы изъявляют ключевое воздействие на карту операционных рисков организации, охватывая риски ИБ, а используемые защитные пределы обязаны уменьшать актуальные риски до терпимой величины.
• Разбор рисков информационной безопасности позволяет открыть критичные факторы, отрицательно оказывающие влияние на основные бизнес-процессы предприятия, и принимать действенные меры для их устранения или минимизации подобного воздействия. Упущение очень царственной для бизнеса информации в конечном итоге приводит к существенным финансово-экономическим утратам. Не так важно, на какой-либо стадии развития находится информационная система организации, она обязана отвечать установленному комплексу требований к обеспечению информационной безопасности. Имеются требования регуляторов, свободные от области, а имеются запросы, характерные для установленного сектора экономики. Также имеются "лучшие практики", разрешающие снабдить информационную безопасность на величине, соответствующей целям и запросам данного сегмента бизнеса. [4; C.368]
• Совершая оценивание активов компании, как и правило специалисты могут определить источники проблем (благодаря основанию моделей угроз и нарушителей, нахождения уязвимых мест), происходит оценка имеющейся меры и средств защиты, так же происходит оценка рисков и в тоже время надежности информационной безопасности данной компании, происходит внедрение наилучших решений по сокращению выявляемых угроз и рисков.
• В конечном итоге уменьшаются риски и угрозы, объединенные с вероятными экономическими и репетиционными утратами, утратами имиджа, приходящими в связи угрозами информационной безопасности, очевидно, научить рациональное обоснование финансовых утрат на информационную безопасность, повысить уровень защищенности информации компании, которая обрабатывается и содержится в автоматизированных информационных системах.[4; C.368]
• Современные методы управления рисками дают возможность разрешить перечень задач перспективного стратегического развития компании. Во-первых, количественно дать оценку текущего уровня информационной безопасности компании, что вызовет раскрытие рисков на правовом, организационно-управленческом, технологическом и техническом уровнях обеспечения защиты информации. Во-вторых, в систему риск - менеджмента в компании, возможно, будет введена политика безопасности и планы улучшения корпоративной системы защиты информации для того, чтобы достигнуть достаточной степени защищенности информационных активов организации.
• В связи с этим могут быть даны рекомендации по осуществлению расчета финансовых и материальных вложений в обеспечение безопасности на костяке технологического анализировано угроз и рисков, совершить сопоставление затрат на обеспечение безопасности с возможным уроном и возможностью его появления. Надо открывать и проводить первоочередное блокирование не менее тяжелых уязвимостей до исполнения штурмов на наиболее уязвляемые и важные в компании ресурсы. Надлежит найти функциональные связи и зоны ответственности в периодах взаимодействия различных структурных подразделений и субъектов по обеспечению информационной безопасности компании, и в том числе необходимо разработать нужный пакет организационно-распорядительной документации. В то же время необходимо реализовывать разработку и координирование со службами организации, органы, которые осуществляют наблюдение проекта введения нужного комплекса защиты, манкирующего нынешнюю величину и тенденции формирования информационных технологий. Наряду с этим, значительным мероприятием помощи системе безопасности информации выказывается обеспечение поддержания введенного комплекса защиты в соответствии с меняющимися условиями работы компании, постоянными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.
• Система, обеспечивающая защиту информации на предприятии, может иметь в виду таковые цели как предупреждение утечки, кражи, потери, коверкания, фальшивки информации; отведение противоправных поступков по истреблению, видоизменению, искривлению, имитированию, снятию блокировки информации; предупреждение прочих конфигураций противозаконного вторжения в информационные ресурсы и информационные системы.
• Кроме всего вышесказанного система информационной безопасности направлена на снабжение неизменного функционирования предмета: предупреждение угроз его безопасности, предохранение легитимных заинтересованностей хозяина информации от противозаконных покушений, так же деяний, которые подлежат уголовному наказанию в анализируемой области взаимоотношений, предусматриваемых УК РФ[7; C.180].
• 2.2 Разработка комплекса мер по обеспечению информационной безопасности предприятия
• Обеспечение информационной безопасности достигается системой мер, направленных:
• на предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
• на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
• на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
• на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
• на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
• Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.
• Предупреждение угроз возможно и путем получения (если хотите - и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.
• В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.
• Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и "внедренные". Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.[6; C.320].
• Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам. Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др. Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
• предотвращение разглашения и утечки конфиденциальной информации;
• воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;
• соблюдение конфиденциальности информации;
• обеспечение авторских прав.

Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов [6; C.320].

Заключение

Прежде всего, проблема информационной безопасности - это проблема выбора человека - выбора воспринимаемой информации, поведения в обществе и государстве, выбора круга общения. Необходимо точное понимание и опознавание себя в мире, в обществе, осознания целей и средств для их достижения, сознательно обрабатывать информацию и транслировать только проверенную, точную и объективную информацию.

Информация, бесспорно, выступает основой всего процесса управления в организации, труд управленца и заключается в ее сборе, изучении, обработке и грамотном толковании. От уровня организации сбора, обработки и передачи информации в целом зависит эффективность управления, а так же качество принимаемых управленческих решений в частности.

Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.

В условиях постоянного роста количества известных и появления новых видов информационных угроз перед крупными предприятиями всё чаще встаёт задача обеспечения надёжной защиты корпоративных сетей от вредоносных программ и сетевых атак.

Итак, информационная безопасность предприятия - это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность. Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе ИБ должны учитываться все актуальные компьютерные угрозы и уязвимости.

Полноценная информационная безопасность предприятий и организаций подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.

Приведенные методические рекомендации дают возможность для наиболее рационального и эффективного использования, обработки, хранения информации для повышения качества обеспечения информационной безопасности предприятия в целом.

Список используемой литературы

1. Введение в информационную безопасность. Компьютеры: преступления, признаки уязвимости и меры защиты. М., 2008. - 315 с.
2. Ловцов Д.А. Информационная безопасность больших эргодических систем: концептуальные аспекты. М., 2008. - 214 с.

Управление персоналом организации. Под ред. Кибанова А.Я., - 3-е изд., доп. и перераб. - М.: ИНФРА-М, 2014. - 238 с. [<#"justify">Федеральный закон "Об участии в международном информационном обмене" от 04.07.1996 г. №85-ФЗ.

[<http://www.consultant.ru/document/cons_doc_LAW_10929/>]

Новые информационные коммуникационные технологии в образовании / В.А. Трайнев, В.Ю. Теплышев, И.В. Трайнев. - 2-е изд. - М.: Издат.-торговая корпорация "Дашков и К°", 2014. - 320 с. [<http://www.ozon.ru/context/detail/id/4136468/>]

Короткое Э.М. Концепция менеджмента. - М.: Дека, 2006. - 180 с. [<http://freebooks.site/menedjment-uchebnik/teoriya-upravleniya.html> ].