Полная версия

Главная arrow Финансы arrow БЕЗОПАСНОСТЬ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

УГРОЗЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В результате изучения главы студент должен:

знать

  • • основы теории информации и основные угрозы в области информационной безопасности предприятия;
  • • о преднамеренной деятельности государств и транснациональных корпораций по хищению охраняемой информации в процессе промышленного шпионажа;
  • • об умышленном и непреднамеренном разрушении системы передачи информации в целях управления, что может привести к нарушению нормальной жизнедеятельности предприятия;

уметь

• определять признаки несанкционированного доступа к информации в местах се хранения, в процессе ее передачи от одного пользователя к другому путем перехвата каналов связи и компрометации шифров;

владеть

• методами выявления рисков и угроз в области информационной безопасности предприятия.

Элементы системы информационной безопасности

Под термином «информация» традиционно принято понимать сведения о предметах и лицах, событиях и фактах, процессах и явлениях вне зависимости от формы их восприятия. В современной науке существует устойчивое мнение, согласно которому информацию следует рассматривать, опираясь на философские категории отражения и различия (разнообразия). Информация не может существовать без отражения, как и отражение не может быть без информации.

Свойство отражения представляет собой способность любого объекта воссоздавать определенные особенности влияющих на него объектов. В то же время, применение одной лишь категории отражения будет недостаточно для определения понятия информации. Информация появляется лишь в том случае, когда в определенном тождестве существует некоторое различие.

Выделяют четыре вида отражения', неживая естественная природа (элементарное отражение), живая природа (биологическое отражение), общество (социальное отражение) и искусственная природа. По использованию данных видов отражения выделяют следующие виды информации:

  • • элементарную информацию (в неживой природе);
  • • биологическую информацию (в объектах живой природы);
  • • социальную информацию (в обществе);
  • • технико-кибернетическую информацию (в автоматизированных устройствах).

К особенностям информации относится невозможность представления ее без определенной материальной основы, так как эта основа является свойством материи и не может быть отделима от нее. Даже в случае отражения информации сознанием человека она не может существовать без единства с определенными нейрофизиологическими процессами, т.е. имеет собственный материальный носитель. В свою очередь, идеалистическое представление допускает самостоятельное существование информации, т.е. без материального носителя.

В конце 1950-х гг. Н. Винер, один из основоположников кибернетики, дал следующее определение понятию «информация» — определение содержания, которое получено из внешнего мира в процессе адаптации человека к нему и адаптации к внешнему миру чувств человека. Процесс получения и использования информации является процессом адаптации человека к непроизвольностям внешней среды и жизнедеятельности человека в этой среде.

Развитие информационных технологий провоцирует интенсивное совершенствование законодательной базы, а также введение в юридическую сферу понятий, которые ранее применялись в кибернетике и информатике. Так, например, всякая информация выступает в качестве объекта гражданских нрав. Отсюда следует, что правовой режим информации представляет собой нормативно установленные правила, которые определяются степенью открытости, порядком документирования, доступностью, хранением, распространением и защитой информации, а также исключительностью права на нее. В Российской Федерации вопросы информации, информационных технологий и защиты информации регламентированы законодательно.

Уровень развития современных информационных технологий обусловливает почти безграничные возможности личности, общества и государства в отношении получения и использования информации. Как результат, информация стала важнейшим ресурсом по сравнению с другими основными ресурсами — природными, экономическими, трудовыми, материальными.

Важно

Для правового регулирования информации необходимо наличие у нее соответствующих свойств, присущих только данному объекту познания. К таким свойствам информации можно отнести:

  • • физическую неотчуждаемость, так как информация неотделима от материального носителя;
  • 1
  • • обособленность, т.е. включение информации в гражданский оборот в форме знаков и символов, обособив ее, таким образом, от производителя и придав ей отдельное существование;
  • • двуединство информации и носителя, которое определено в самом понятии «информация» как вещи на материальном носителе;
  • • распространяемость (тиражируемость), которая проявляется в возможности неограниченного распространения экземпляров информации без изменения ее содержания;
  • • организационная форма информации, которой является документ;
  • • экземплярность, т.е. наличие информации на отдельном материальном носителе.

Согласно этому определению права доступа к информации определяют набор действий (например, чтение, запись, выполнение), разрешенных для выполнения субъектам над информацией. Таким образом, возникает необходимость в некой упорядоченной системе для предоставления субъектам различных прав доступа к информации. Указанные функции реализуются на практике с использованием системы информационной безопасности.

Под системой информационной безопасности понимается организованная совокупность специальных органов, средств, служб, методов и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке.

Системы информационной безопасности призваны обеспечивать ее на различных уровнях. Соответственно, под информационной безопасностью государства понимается состояние сохранения целостности информационных ресурсов государства и защищенности прав общества и личности в информационной сфере. Информационная безопасность организации представляется как состояние защиты интересов (целей) организации в условиях существующей информационной сферы (рис. 20.1). [1]

Структура информационной сферы организации по А. П. Курило

Рис. 20.1. Структура информационной сферы организации по А. П. Курило1

Информационная сфера — совокупность информации, субъектов, информационной инфраструктуры, которая осуществляет сбор, формирование, использование, распространение и хранение информации[2].

При этом должны обеспечиваться конфиденциальность, целостность и доступность информации. В международных стандартах информационной безопасности указанные свойства образуют AIC-триаду (от английских слов: availability — доступность, integrity — целостность, confidentiality - конфиденциальность). Уровень безопасности, необходимый для реализации этих свойств, отличается в различных компаниях. Защитные меры и механизмы безопасности внедряются для реализации одного (нескольких) из указанных свойств так же, как и все риски измеряются по их потенциальной способности нарушения свойств А1С-триады.

Доступность — свойство системы (среды, средств и технологии обработки), обеспечивающее своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность всех служб к обслуживанию поступающих запросов. Уровень доступности информации является одним из важнейших показателей правовой культуры общества.

Целостность — существование информации в некотором неискаженном виде (фиксированном относительно определенного состояния). Пользователи, как правило, влияют на целостность систем или данных в результате ошибок (хотя внутренние пользователи также могут совершать мошеннические или злоумышленные действия). Например, случайное удаление конфигурационных файлов, ввод ошибочной суммы операции и т.д.

Конфиденциальность — субъективно определяемая характеристика, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Это свойство обеспечивается способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Конфиденциальность должна обеспечиваться как при хранении информации, так и в процессе ее передачи.

В течение тысячелетий под обеспечением безопасности информации подразумевалось обеспечение ее конфиденциальности. Для этого использовались различные способы: тайнопись, иностранные языки, тайные знаки и др. Позже человечество изобрело криптографию, которая до сих пор широко используется в прикладной математике. Новую эпоху в передаче информации открыло радио — возникла возможность передавать в эфире значительные объемы конфиденциальной информации. Это породило сразу два направления деятельности: по созданию эффективных шифров и, естественно, алгоритмов их взлома (рис. 20.2).

Уязвимость информационной системы является свойством информационной системы, которое определяет возможность реализации угроз безопасности информации, обрабатываемой в ней. Другими словами, это слабость или отсутствие защитных мер.

Общая схема передачи информации по В. М. Белову и др

Рис. 20.2. Общая схема передачи информации по В. М. Белову и др.1:

ИИ — источник информации; К — кодер; ПРД — передатчик информации; ПРМ — приемник информации; ДК — декодер; ПрИ — приемник информации

Примеры

Уязвимостью может стать служба, которая была запущена на сервере, низкий уровень физической безопасности, который позволяет каждому войти в серверную комнату, неограниченный открытый порт на межсетевом экране, неуправляемость паролями на серверах и рабочих станциях.

В широком смысле помехи {шумы) на рис. 20.2 являются своеобразными уязвимостями изображенного канала связи, которые могут привести к тому, что используемые в кодировании криптографические шифры будут скомпрометированы, а декодирование потеряет смысл. Поэтому и защиту от помех необходимо трактовать в широком смысле.

Риски в области информационной безопасности, согласно современной классификации предпринимательских рисков, относятся к области операционных рисков. Они могут быть природно-естественного, техногенного и политического характера, являться следствием целенаправленных или неумышленных действий людей, носить потенциальный или реальный характер. В случае если защитные меры не позволили предотвратить наступление неблагоприятных факторов, возникает угроза перехода риска из состояния потенциального (реального) в состояние реализованного.

Угрозы реализации рисков в области информационной безопасности могут наступить в качестве следствия ряда причин. К ним относятся: информационное противоборство с внешними субъектами; злоумышленная активность персонала; получение неполной, недостоверной и несвоевременной информации; несовершенство организационной, функциональной и информационной сферы организации; несовершенство ролей и слабости менеджмента в критичных областях; технологическая слабость в противостоянии негативным факторам. [3]

  • [1] Обеспечение информационной безопасности бизнеса / под ред. А. П. Курило. М.: Альпина Паблишер, 2011.
  • [2] 2 Обеспечение информационной безопасности бизнеса / под ред. А. П. Курило. С. 38.
  • [3] Белов В. М., Новиков С. Н., Солонская О. И. Теория информации. М. : Телеком, 2012.С. 55.
 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>