Главная Финансы
БЕЗОПАСНОСТЬ ПРЕДПРИНИМАТЕЛЬСКОЙ ДЕЯТЕЛЬНОСТИ
|
|
||||||
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯУГРОЗЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИВ результате изучения главы студент должен: знать
уметь • определять признаки несанкционированного доступа к информации в местах се хранения, в процессе ее передачи от одного пользователя к другому путем перехвата каналов связи и компрометации шифров; владеть • методами выявления рисков и угроз в области информационной безопасности предприятия. Элементы системы информационной безопасностиПод термином «информация» традиционно принято понимать сведения о предметах и лицах, событиях и фактах, процессах и явлениях вне зависимости от формы их восприятия. В современной науке существует устойчивое мнение, согласно которому информацию следует рассматривать, опираясь на философские категории отражения и различия (разнообразия). Информация не может существовать без отражения, как и отражение не может быть без информации. Свойство отражения представляет собой способность любого объекта воссоздавать определенные особенности влияющих на него объектов. В то же время, применение одной лишь категории отражения будет недостаточно для определения понятия информации. Информация появляется лишь в том случае, когда в определенном тождестве существует некоторое различие. Выделяют четыре вида отражения', неживая естественная природа (элементарное отражение), живая природа (биологическое отражение), общество (социальное отражение) и искусственная природа. По использованию данных видов отражения выделяют следующие виды информации:
К особенностям информации относится невозможность представления ее без определенной материальной основы, так как эта основа является свойством материи и не может быть отделима от нее. Даже в случае отражения информации сознанием человека она не может существовать без единства с определенными нейрофизиологическими процессами, т.е. имеет собственный материальный носитель. В свою очередь, идеалистическое представление допускает самостоятельное существование информации, т.е. без материального носителя. В конце 1950-х гг. Н. Винер, один из основоположников кибернетики, дал следующее определение понятию «информация» — определение содержания, которое получено из внешнего мира в процессе адаптации человека к нему и адаптации к внешнему миру чувств человека. Процесс получения и использования информации является процессом адаптации человека к непроизвольностям внешней среды и жизнедеятельности человека в этой среде. Развитие информационных технологий провоцирует интенсивное совершенствование законодательной базы, а также введение в юридическую сферу понятий, которые ранее применялись в кибернетике и информатике. Так, например, всякая информация выступает в качестве объекта гражданских нрав. Отсюда следует, что правовой режим информации представляет собой нормативно установленные правила, которые определяются степенью открытости, порядком документирования, доступностью, хранением, распространением и защитой информации, а также исключительностью права на нее. В Российской Федерации вопросы информации, информационных технологий и защиты информации регламентированы законодательно. Уровень развития современных информационных технологий обусловливает почти безграничные возможности личности, общества и государства в отношении получения и использования информации. Как результат, информация стала важнейшим ресурсом по сравнению с другими основными ресурсами — природными, экономическими, трудовыми, материальными. Важно Для правового регулирования информации необходимо наличие у нее соответствующих свойств, присущих только данному объекту познания. К таким свойствам информации можно отнести:
Согласно этому определению права доступа к информации определяют набор действий (например, чтение, запись, выполнение), разрешенных для выполнения субъектам над информацией. Таким образом, возникает необходимость в некой упорядоченной системе для предоставления субъектам различных прав доступа к информации. Указанные функции реализуются на практике с использованием системы информационной безопасности. Под системой информационной безопасности понимается организованная совокупность специальных органов, средств, служб, методов и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Системы информационной безопасности призваны обеспечивать ее на различных уровнях. Соответственно, под информационной безопасностью государства понимается состояние сохранения целостности информационных ресурсов государства и защищенности прав общества и личности в информационной сфере. Информационная безопасность организации представляется как состояние защиты интересов (целей) организации в условиях существующей информационной сферы (рис. 20.1). [1] ![]() Рис. 20.1. Структура информационной сферы организации по А. П. Курило1 Информационная сфера — совокупность информации, субъектов, информационной инфраструктуры, которая осуществляет сбор, формирование, использование, распространение и хранение информации[2]. При этом должны обеспечиваться конфиденциальность, целостность и доступность информации. В международных стандартах информационной безопасности указанные свойства образуют AIC-триаду (от английских слов: availability — доступность, integrity — целостность, confidentiality - конфиденциальность). Уровень безопасности, необходимый для реализации этих свойств, отличается в различных компаниях. Защитные меры и механизмы безопасности внедряются для реализации одного (нескольких) из указанных свойств так же, как и все риски измеряются по их потенциальной способности нарушения свойств А1С-триады. Доступность — свойство системы (среды, средств и технологии обработки), обеспечивающее своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность всех служб к обслуживанию поступающих запросов. Уровень доступности информации является одним из важнейших показателей правовой культуры общества. Целостность — существование информации в некотором неискаженном виде (фиксированном относительно определенного состояния). Пользователи, как правило, влияют на целостность систем или данных в результате ошибок (хотя внутренние пользователи также могут совершать мошеннические или злоумышленные действия). Например, случайное удаление конфигурационных файлов, ввод ошибочной суммы операции и т.д. Конфиденциальность — субъективно определяемая характеристика, указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации. Это свойство обеспечивается способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий доступа к ней. Конфиденциальность должна обеспечиваться как при хранении информации, так и в процессе ее передачи. В течение тысячелетий под обеспечением безопасности информации подразумевалось обеспечение ее конфиденциальности. Для этого использовались различные способы: тайнопись, иностранные языки, тайные знаки и др. Позже человечество изобрело криптографию, которая до сих пор широко используется в прикладной математике. Новую эпоху в передаче информации открыло радио — возникла возможность передавать в эфире значительные объемы конфиденциальной информации. Это породило сразу два направления деятельности: по созданию эффективных шифров и, естественно, алгоритмов их взлома (рис. 20.2). Уязвимость информационной системы является свойством информационной системы, которое определяет возможность реализации угроз безопасности информации, обрабатываемой в ней. Другими словами, это слабость или отсутствие защитных мер. ![]() Рис. 20.2. Общая схема передачи информации по В. М. Белову и др.1: ИИ — источник информации; К — кодер; ПРД — передатчик информации; ПРМ — приемник информации; ДК — декодер; ПрИ — приемник информации Примеры Уязвимостью может стать служба, которая была запущена на сервере, низкий уровень физической безопасности, который позволяет каждому войти в серверную комнату, неограниченный открытый порт на межсетевом экране, неуправляемость паролями на серверах и рабочих станциях. В широком смысле помехи {шумы) на рис. 20.2 являются своеобразными уязвимостями изображенного канала связи, которые могут привести к тому, что используемые в кодировании криптографические шифры будут скомпрометированы, а декодирование потеряет смысл. Поэтому и защиту от помех необходимо трактовать в широком смысле. Риски в области информационной безопасности, согласно современной классификации предпринимательских рисков, относятся к области операционных рисков. Они могут быть природно-естественного, техногенного и политического характера, являться следствием целенаправленных или неумышленных действий людей, носить потенциальный или реальный характер. В случае если защитные меры не позволили предотвратить наступление неблагоприятных факторов, возникает угроза перехода риска из состояния потенциального (реального) в состояние реализованного. Угрозы реализации рисков в области информационной безопасности могут наступить в качестве следствия ряда причин. К ним относятся: информационное противоборство с внешними субъектами; злоумышленная активность персонала; получение неполной, недостоверной и несвоевременной информации; несовершенство организационной, функциональной и информационной сферы организации; несовершенство ролей и слабости менеджмента в критичных областях; технологическая слабость в противостоянии негативным факторам. [3] |
<< | СОДЕРЖАНИЕ | ПОСМОТРЕТЬ ОРИГИНАЛ | >> |
---|