Введение - Обеспечение защиты информационных объектов предприятия (фирмы)

Проблема защиты информации. Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом. И напротив, искажение информации, блокирование ее получения, использование недостоверных данных ведут к ошибочным решениям. Одним из главных факторов, обеспечивающих эффективность в управлении различными сферами общественной жизни, является правильное использование информации различного характера. Темпы прогресса сегодняшнего, а тем более завтрашнего дня в значительной мере зависят от состояния дел в области информационно-вычислительного обслуживания важнейших сфер деятельности науки, техники, производства и управления. Особенно актуальна проблема использования экономической информации в сфере управления материальным производством, где рост информационного потока находится в квадратичной зависимости от промышленного потенциала страны. информационный безопасность защита

В свою очередь быстрое развитие процессов автоматизации, использование компьютеров во всех сферах современной жизни, помимо несомненных преимуществ, повлекли появление ряда специфичных проблем. Одна из них - необходимость обеспечения эффективной защиты информации. Исходя из этого создание правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, а также защита этой информации становятся важнейшим аспектом информационной политики государства.

Защита информации, особенно в экономической сфере, - очень специфический и важный вид деятельности. Достаточно сказать, что в мире средняя величина ущерба от одной банковской кражи с применением электронных средств оценивается в 9 тыс. долл. Ежегодные потери от компьютерных преступлений в США и Западной Европе достигают 140 млрд. долл. По мнению американских специалистов, снятие систем защиты информации с компьютерных сетей приведет к разорению 20 % средних компаний в течение нескольких часов, 40 % средних и 16% крупных компаний потерпят крах через несколько дней, 33 % банков "лопнут" за 2-5 часов, 50% банков - через 2-3 дня [6].

Представляют интерес сведения о проблемах защиты данных, приведших к материальным потерям в компаниях США в 1995 г. [14]:

Сбои в работе сети (24 %);

Ошибки программного обеспечения (14 %);

Компьютерные вирусы (12 %);

Неисправности в компьютерах (11 %);

Хищение данных (7 %);

Саботаж (5 %);

Несанкционированное внедрение в сеть (4 %);

Прочие (23 %).

Бурное развитие и распространение компьютерных систем и информационных сетей, обслуживающих банки и биржи, сопровождается ростом правонарушений, связанных с кражами и неправомочным доступом к данным, хранящимся в памяти компьютеров и передаваемым по линиям связи. Компьютерные преступления происходят сегодня во всех странах мира и распространены во многих областях человеческой деятельности. Они характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел. Правонарушения в сфере компьютерной информации могут совершаться в форме [12]:

Махинаций путем компьютерного манипулирования системой обработки данных в целях получения финансовой выгоды;

Компьютерного шпионажа и кражи программного обеспечения;

Компьютерных диверсий;

Кражи услуг (времени), неправомерного использования систем обработки данных;

Неправомерного доступа к системам обработки данных и "взламывания" их;

Традиционных преступлений в сфере бизнеса (экономики), совершаемых с помощью систем обработки данных.

Совершают компьютерные преступления, как правило, высококвалифицированные системные и банковские программисты, специалисты в области телекоммуникационных систем. Нешуточную угрозу информационным ресурсам представляют Хакеры и Крэкеры, Проникающие в компьютерные системы и сети путем взлома программного обеспечения защиты. Крэкеры, кроме того, могут стереть или изменить данные в информационном банке в соответствии со своими интересами. За последние десятилетия в странах бывшего СССР появилась мощная генерация высокоподготовленных потенциальных хакеров, работавших в организациях и ведомствах, занимавшихся информационным пиратством на государственном уровне для использования полученной с Запада информации в военных и экономических интересах.

Что же крадут хакеры? Потенциальным объектом может служить любая информация, заложенная в ЭВМ, проходящая по вычислительным сетям или находящаяся на носителях ЭВМ и способная принести прибыль хакеру или его работодателю. К данной информации относятся практически все сведения, составляющие коммерческую тайну фирм, начиная от разработок и "ноу-хау" и заканчивая платежными ведомостями, по которым легко "вычислить" оборот фирмы, количество сотрудников и т. д. Особо ценной является информация по банковским сделкам и кредитам, проводимая по электронной почте, а также сделки на бирже. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а то и в миллионы долларов.

Крэкеры - "компьютерные террористы" - занимаются порчей программ или информации с помощью вирусов - специальных программ, обеспечивающих уничтожение информации или сбои в работе системы. Создание "вирусных" программ - дело весьма прибыльное, так как некоторые фирмы-производители используют вирусы для защиты своих программных продуктов от несанкционированного копирования.

Для многих фирм получение информации с помощью внедрения к конкурентам хакера-программиста - дело наиболее простое и прибыльное. Внедрять соперникам спецтехнику, постоянно контролировать их офис на излучение с помощью специальной аппаратуры - дело дорогостоящее и опасное. К тому же фирма-конкурент при обнаружении технических средств может в ответ затеять игру, давая ложную информацию. Поэтому свой хакер-пpoграммист в "стане врага" - наиболее надежный способ борьбы с конкурентами.

Таким образом, всевозрастающая опасность компьютерной преступности, прежде всего в финансово-кредитной сфере, определяет важность обеспечения безопасности автоматизированных информационных систем.

Информационная безопасность предприятия. Конечно, в наших условиях степень автоматизации коммерческой деятельности значительно уступает западным стандартам, поскольку большинство расчетных операций дублируется на бумаге, а обмен платежными документами в реальном времени осложнен из-за отсутствия единого механизма межбанковских коммуникаций и соответствующих правовых норм. С другой стороны, относительная слабость механизмов защиты и отсутствие у нас в стране юридической ответственности за компьютерные преступления стимулируют злоумышленников и способствуют их безнаказанности. Следует также учесть, что в подавляющем большинстве случаев на предприятиях, в банках и финансовых учреждениях эксплуатируются однотипные стандартные вычислительные средства (IBM совместимые персональные компьютеры с операционной системой MS DOS, локальные сети с программным обеспечением фирмы Novell, программы автоматизации бухгалтерской и банковской деятельности на языках Clipper, FoxPro или Paradox и т. д.), которые хорошо задокументированы и в деталях известны профессионалам. Простейшие механизмы защиты таких изделий (если они вообще используются) легко преодолимы.

Под Безопасностью автоматизированной информационной системы предприятия (АИСП) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов [18]. Безопасность АИСП достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.

Конфиденциальность компьютерной информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программам, процессам и т. д.).

Целостность компонента (ресурса) системы - свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.

Доступность компонента (ресурса) системы - свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.

Систему обеспечения безопасности АИСП можно разбить на следующие подсистемы:

Компьютерную безопасность;

Безопасность данных;

Безопасное программное обеспечение;

Безопасность коммуникаций.

Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.

Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашений.

Безопасное программное обеспечение представляет собой общецелевые и прикладные программы и средства, осуществляющие безопасную обработку данных в АИСП и безопасно использующие ресурсы системы.

Безопасность коммуникаций обеспечивается посредством аутентификации телекоммуникаций за счет принятия мер по предотвращению предоставления неавторизованным лицам критичной информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

К Объектам информационной безопасности на предприятии (фирме) относят:

Информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде документированных информационных массивов и баз данных;

Средства и системы информатизации - средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями (офисами), системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.

В современном мире информационные ресурсы стали одним из мощных рычагов экономического развития предприятий (фирм), играющих важную роль в предпринимательской деятельности. Более того, отсутствие в сфере отечественного бизнеса эффективных компьютерных и современных информационных технологий, являющихся основой функционирования "быстрых" экономик, существенно тормозит переход на новые формы хозяйствования.

Рыночная экономика диктует свои законы: и большому и малому бизнесу необходимо информационное обеспечение коммерческой деятельности, необходимы как базы данных общедоступной коммерческой информации, макроэкономической ситуации и тенденций развития, так и системы для обработки внутрифирменной информации.

Похожие статьи




Введение - Обеспечение защиты информационных объектов предприятия (фирмы)

Предыдущая | Следующая