Информация и экономическая безопасность реферат

Обновлено: 04.07.2024

Аннотация: Понятия экономической и информационной безопасности. Ключевые вопросы ИБ. Виды угроз информационной безопасности и классификация источников угроз. Основные виды защищаемой информации. Правовое обеспечение информационной безопасности. Основные аспекты построения системы информационной безопасности.

Понятия экономической и информационной безопасности. Ключевые вопросы ИБ

Информация давно перестала быть просто необходимым для производства материальных ценностей вспомогательным ресурсом — она приобрела ощутимый стоимостный вес , который четко определяется реальной прибылью, получаемой при её использовании, или размерами ущерба, наносимого владельцу информации. Создание технологий и индустрии сбора, переработки, анализа информации и её доставки конечному пользователю порождает ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации (актуальности, полноты, непротиворечивости, конфиденциальности), циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, а также безопасность самих систем и технологий.

Современное развитие информационных технологий и, в частности, технологий Internet /Intranet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных закрытых физических каналов доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet . Поэтому приходиться изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.

Безопасность информационных технологий (ИТ) и систем (ИС) является одной из важнейших составляющих проблемы обеспечения экономической безопасности организации. Переход к новым формам государственного и хозяйственного управления экономикой в России в условиях дефицита и противоречивости правовой базы породил целый комплекс проблем в области защиты данных, информации, знаний и самих ИКТ. Это и своеобразие становления рыночных отношений, и отсутствие обоснованных концепций реформ, и отставание в области применения современных информационных технологий в управлении и производстве. Обострение этих проблем выдвинули на первый план вопросы обеспечения национальной, социальной и корпоративной безопасности, в том числе и в информационной сфере.

Во второй половине 1980-х годов аналогичные по назначению документы были изданы в ряде европейских стран [ Information Technology Security Evaluation Criteria ( ITSEC ). Harmonised Criteria of France-Germany-Netherlands-United Kingdom. — Department of Trade and Industry , London, 1991].

В 1992 году в России Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ) издала серию документов, посвященных проблеме защиты от несанкционированного доступа.

" Оранжевая книга " и последующие подобные издания были ориентированы в первую очередь на корпоративных разработчиков программного обеспечения и информационных систем, а не на пользователей или системных администраторов. Динамичное развитие вычислительной техники, компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности на всех уровнях — национальном, корпоративном или персональном. Для иллюстрации можно привести несколько примеров.

В 2012 году в США был опубликован годовой отчет "Компьютерная преступность и безопасность : проблемы и тенденции" ("Issues and Trends: 2012 CSI/FBI Computer Crime and Security Survey"). В отчете отмечается увеличивающийся рост числа компьютерных преступлений (39% из числа опрошенных). Информационные системы 28% респондентов были взломаны внешними злоумышленниками. Атакам через Internet подвергались 77%, в 59% случаев отмечались нарушения со стороны собственных сотрудников. В большом числе компаний (31%) вообще не следили за состоянием безопасности своих компьютерных и сетевых систем, полагаясь на защитные модули компьютерных программ и приложений. В аналогичном отчете, опубликованном в апреле 2013 года, тенденция осталась прежней:

  • 90% опрошенных (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности;
  • 78% констатировали значительные финансовые потери от этих нарушений;
  • 49% оценили потери количественно — их общая сумма составила более 640 млн. долларов.

Согласно результатам совместного исследования Института информационной безопасности США и ФБР, в 2012 году ущерб от компьютерных преступлений достиг более 900 миллионов долларов, что на 34% больше, чем в 2011 году. Каждое компьютерное преступление наносит ущерб примерно в 200-300 тысяч долларов. Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности (" Internet Week", 2013 г.).

Наибольший ущерб , по исследованиям Gartner Group , нанесло манипулирование доступом во внутреннее информационное пространство : кражи данных и информации из корпоративных сетей и баз данных, подмена информации, подлоги документов в электронном виде, промышленный шпионаж. Наряду с возрастанием числа внешних атак в последние годы отмечается резкий рост распространения вирусов через Интернет .

Однако, увеличение числа атак и распространение вирусов еще не самая большая неприятность — постоянно обнаруживаются новые уязвимые места в программном обеспечении. В информационных письмах Национального центра защиты инфраструктуры США (National Infrastructure Protection Center USA — NIPC ) сообщается, что за период с 2000 по 2012 годы выявлено несколько десятков существенных проблем с программным обеспечением, риск использования которых оценивается как средний или высокий. Среди "пострадавших" операционных платформ — почти все разновидности ОС Unix, Windows , Mac OS, . NET . В таких условиях специалисты и системы информационной безопасности должны уметь противостоять внешним и внутренним угрозам, выявлять проблемы в системах защиты программного обеспечения и на основе соответствующей политики вырабатывать адекватные меры по компенсации угроз и уменьшению рисков.

При анализе проблематики, связанной с информационной безопасностью (ИБ), необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть разработки, внедрения и эксплуатации информационных систем и технологий — области, развивающейся беспрецедентно высокими темпами.

К сожалению, современная технология программирования не позволяет создавать полностью безошибочные и безопасные программы. Поэтому следует исходить из того, что необходимо создавать надежные системы ИБ с привлечением не стопроцентно надежных программных компонентов (программ)!

В принципе, это возможно, но требует соблюдения определенных принципов архитектурного построения программных комплексов и контроля состояния защищенности программно-аппаратного обеспечения, телекоммуникационных устройств и сетей на всем протяжении жизненного цикла ИС.

Экономическая и информационная безопасность. Составляющие информационной безопасности

Для чего необходимы знания по основам информационной безопасности? Как строить безопасные, надежные системы и сети? Как поддерживать режим безопасности информации в системах и сетях? Бурное развитие техники, новейших компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривать эту проблему — национальном, корпоративном или персональном.

Необходимость реализации, сопровождения и развития систем ИБ — это оборотная сторона широкого использования информационных технологий, так как наступление нового этапа развития ИТ закономерно приводит к быстрому падению уровня информационной безопасности (рис. 1.1).

Изменение уровня информационной безопасности в соответствии с уровнем развития ИТ

Отметим ещё одну существенную — можно сказать парадоксальную — особенность развития информационных технологий: технологии постоянно усложняются, однако квалификация нарушителей и злоумышленников понижается (рис. 1.2). Это происходит оттого, что новые средства создания программного кода и сетевые технологии изначально строятся так, чтобы они были доступны пользователям, не обладающим высокой профессиональной подготовкой.

Соотношение возрастания сложности ИТ и квалификации злоумышленников

В "Доктрине информационной безопасности Российской Федерации" защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере. К настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:

  • законодательного — федеральные и региональные законы, подзаконные и нормативные акты, международные, отраслевые и корпоративные стандарты;
  • административного — действия общего и специального характера, предпринимаемые руководством организации;
  • процедурного — меры безопасности, закрепленные в соответствующих методологиях и реализуемые ответственными менеджерами и персоналом предприятия;
  • научно-технического — конкретные методики, программно-аппаратные, технологические и технические меры.

Главными принципами обеспечения безопасности в соответствии с законом РФ "О безопасности" являются: законность, соблюдение баланса жизненно важных интересов личности, общества и государства, взаимная ответственность перечисленных субъектов, интеграция системы безопасности в рамках компании, общества, государства, взаимодействие с международными системами безопасности.

Экономическая безопасность предпринимательской деятельности и хозяйствующего субъекта можно определить как "защищенность жизненно важных интересов государственного или коммерческого предприятия от внутренних и внешних угроз, защиту кадрового и интеллектуального потенциала, технологий, данных и информации, капитала и прибыли, которая обеспечивается системой мер правового, экономического, организационного, информационного, инженерно-технического и социального характера" [Грунин О. А., Грунин С. О., 2002].

Стратегия обеспечения экономической безопасности Российской Федерации строится на основании официально действующих правовых и нормативных актов, основными из которых являются:

  • Конституция Российской Федерации;
  • Закон "О безопасности" от 5 марта 1992 г. с изменениями и дополнениями от 25 декабря 1992 г.;
  • Государственная стратегия экономической безопасности РФ (Основные положения), одобренная Указом Президента РФ № 608 от 29 апреля 1996 г.;
  • Концепция национальной безопасности Российской Федерации, введенная Указом Президента РФ № 24 от 10 января 2000 г.

Исходя из необходимости достижения целей обеспечения экономической безопасности предпринимательской деятельности, можно выделить следующие основные проблемные направления:

  • организацию эффективной защиты материальной, финансовой и интеллектуальной собственности,
  • защиту информационных ресурсов предприятия,
  • эффективное управление ресурсами и персоналом.

В современных условиях коммерческий успех любого предприятия в большой степени зависит от оперативности и мобильности бизнеса, от своевременности и быстроты принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия между различными участниками бизнес-процессов. Сегодня предприятия в качестве среды для информационного обмена все чаще используют открытые каналы связи сетей общего доступа (Internet) и внутреннее информационное пространство предприятия (Intranet). Открытые каналы Internet/Intranet намного дешевле по сравнению с выделенными каналами. Однако сети общего пользования имеют существенный недостаток — открытость и доступность информационной среды. Компании не могут полностью контролировать передачу и приём данных по открытым каналам и при этом гарантировать их целостность и конфиденциальность. Злоумышленникам не составляет особого труда перехватить деловую информацию с целью ознакомления, искажения, кражи и т. п.

Общая структура информационной безопасности

Информационная безопасность. В общем случае ИБ можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений — производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" [Галатенко В. А., 2006].

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации — это принципиально более широкое понятие, включающее защиту информации, технологий, систем, материальных и нематериальных активов и персонала (рис. 1.3).

Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трёх основных составляющих информационной безопасности (рис. 1.4):

Основные составляющие информационной безопасности

  • целостность — это, в первую очередь, актуальность и непротиворечивость информации, её защищенность от разрушения и несанкционированного изменения: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
  • конфиденциальность — засекреченная информация должна быть доступна только тому, кому она предназначена: такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступность (готовность) — это возможность за приемлемое время получить требуемую информационную услугу: данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать:

  • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access — UAA);
  • искажение, частичную или полную утрату конфиденциальной информации;
  • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
  • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Для большинства государственных и коммерческих организаций вопросы защиты от несанкционированного доступа и сохранности данных и информации имеют более высокий приоритет, чем проблемы локальных неисправностей компьютерного и сетевого оборудования. Напротив, для многих открытых организаций (общественных, учебных) защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Читайте также: