Информационная безопасность. 25
Федеральное государственное
образовательное бюджетное
Свердловский государственный университет менеджмента и философии
Кафедра «Финансы и кредит»
Курсовая работа
по дисциплине «Экономическая безопасность предприятия» на тему: «Информационная безопасность»
Свердловск 2011
Основные понятия
Современный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.
Под информационной безопасностью подразумевается техника защиты информации от преднамеренного или случайного несанкционированного доступа и нанесения тем самым вреда нормальному процессу документооборота и обмена данными в системе, а также хищения, модификации и уничтожения информации.
Другими словами вопросы
защиты информации и защиты информации
в информационных системах решаются
для того, чтобы изолировать нормально
функционирующую информационную систему
от несанкционированных
Информационная безопасность - многогранная, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих включают защиту от несанкционированного копирования информации. Доступность - это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Наконец, конфиденциальность - это защита от несанкционированного доступа к информации.
Информационная безопасность
является одним из важнейших аспектов
безопасности, на каком бы уровне ни
рассматривали последнюю - национальном,
отраслевом, корпоративном или
В Доктрине информационной безопасности Российской Федерации защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере. Доктрина информационной безопасности Российской Федерации — совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Доктрина информационной безопасности Российской Федерации была утверждена 9 сентября 2000 года Президентом Российской Федерации В.В. Путиным.
Само понятие "угроза"
в разных ситуациях зачастую трактуется
по-разному. Например, для подчеркнуто
открытой организации угроз
1) по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
2) по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
3) по способу осуществления (случайные, преднамеренные действия природного, техногенного характера);
4) по расположению источника угроз (внутри, вне рассматриваемой информационной системе).
Наиболее распространенные угрозы доступности
Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Иногда такие ошибки и
являются собственно угрозами (неправильно
введенные данные или ошибка в
программе, вызвавшая крах системы),
иногда они создают уязвимые места,
которыми могут воспользоваться
злоумышленники (таковы обычно ошибки
администрирования). По некоторым данным,
до 65% потерь - следствие непреднамеренных
ошибок. Пожары и наводнения не приносят
столько бед, сколько безграмотность
и небрежность в работе. Очевидно,
самый радикальный способ борьбы
с непреднамеренными ошибками - максимальная
автоматизация и строгий
1) отказ пользователей;
2) внутренний отказ
3) отказ поддерживающей инфраструктуры.
Обычно применительно
к пользователям
1) нежелание работать
с информационной системой (чаще
всего проявляется при
2) невозможность работать
с системой в силу отсутствия
соответствующей подготовки (недостаток
общей компьютерной
3) невозможность работать
с системой в силу отсутствия
технической поддержки (
Основными источниками внутренних отказов являются:
1) отступление (случайное или умышленное) от установленных правил эксплуатации;
2) выход системы из
штатного режима эксплуатации
в силу случайных или
3) ошибки при (пере) конфигурировании системы;
4) отказы программного и аппаратного обеспечения;
5) разрушение данных;
6) разрушение или повреждение аппаратуры.
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
1) нарушение работы (случайное или умышленное) систем связи, электропитания, водо - и/или теплоснабжения, кондиционирования; разрушение или повреждение помещений;
2) невозможность или нежелание
обслуживающего персонала и/
Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации-"обидчику", например:
1) испортить оборудование;
2) встроить логическую
бомбу, которая со временем
разрушит программы и/или
3) удалить данные.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались. Опасны, разумеется, стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный - перебой электропитания) приходится 13% потерь, нанесенных информационным системам.
Методы обеспечения информационной безопасности
Задача обеспечения
1) средства идентификации и аутентификации пользователей;
2) средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
3) межсетевые экраны;
4) виртуальные частные сети;
5) средства контентной фильтрации;
6) инструменты проверки
целостности содержимого
7) средства антивирусной защиты;
8) системы обнаружения
уязвимостей сетей и
Системы шифрования позволяют
минимизировать потери в случае несанкционированного
доступа к данным, хранящимся на
жестком диске или ином носителе,
а также перехвата информации
при ее пересылке по электронной
почте или передаче по сетевым
протоколам. Задача данного средства
защиты - обеспечение
Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.
Основной принцип действия
межсетевых экранов - проверка каждого
пакета данных на соответствие входящего
и исходящего IP-адреса базе разрешенных
адресов. Таким образом, межсетевые
экраны значительно расширяют
Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:
1) защита информационных
потоков между различными
2) защищенный доступ удаленных
пользователей сети к
3) защита информационных
потоков между отдельными
Эффективное средство защиты от потери конфиденциальной информации - фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.
Все изменения на рабочей станции или на сервере могут быть отслежены администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска. Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями.
Фильтры спама значительно
уменьшают непроизводительные трудозатраты,
связанные с разбором спама, снижают
трафик и загрузку серверов, улучшают
психологический фон в
Информационная безопасность России
Необходимо отметить, что проблемы обеспечения информационной безопасности государства, общества и отдельного человека в значительной степени взаимосвязаны, хотя вполне естественно, что их основные интересы существенно различны. Так, например, на современном этапе развития общества интересы личности заключается в реальном обеспечении своих констуционных прав и свобод, личной безопасности, повышения качества и уровня жизни, возможности физического, интеллектуального и духовного развития.
Интересы государства состоят в защите конституционного строя, суверенитета и территориальной целостности страны, установлении и сохранении политической и социальной стабильности, обеспечении законности и правопорядка, развитии равноправного международного сотрудничества.
Совокупность перечисленных выше важнейших интересов личности, общества и государства и образует национальные интересы страны, проекция которых на информационную сферу общества и определяет основные цели и задачи страны в области обеспечения информационной безопасности.
Успешному решению вопросов
обеспечения информационной безопасности
Российской Федерации способствуют
государственная система защиты
информации, система защиты государственной
тайны, системы лицензирования деятельности
в области защиты государственной
тайны и системы сертификации
средств защиты информации.
Вместе с тем анализ состояния информационной
безопасности Российской Федерации показывает,
что ее уровень не в полной мере соответствует
потребностям общества и государства.
Современные условия политического
и социально-экономического развития
страны вызывают обострение противоречий
между потребностями общества в
расширении свободного обмена информацией
и необходимостью сохранения отдельных
регламентированных ограничений на
ее распространение.
Противоречивость и неразвитость правового
регулирования общественных отношений
в информационной сфере приводят к серьезным
негативным последствиям. Так, недостаточность
нормативного правового регулирования
отношений в области реализации возможностей
конституционных ограничений свободы
массовой информации в интересах защиты
основ конституционного строя, нравственности,
здоровья, прав и законных интересов граждан,
обеспечения обороноспособности страны
и безопасности государства существенно
затрудняет поддержание необходимого
баланса интересов личности, общества
и государства в информационной сфере.
Несовершенное нормативное правовое регулирование
отношений в области массовой информации
затрудняет формирование на территории
Российской Федерации конкурентоспособных
российских информационных агентств и
средств массовой информации. Сложившееся
положение дел в области обеспечения информационной
безопасности Российской Федерации требует
безотлагательного решения таких задач,
как:
- разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации, а также мероприятий и механизмов, связанных с реализацией этой политики;
- развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам
- разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
- разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации, а также сертификации этих систем и средств;
- совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
- разработка методов повышения эффективности участия государства в формировании информационной политики государственных телерадиовещательных организаций, других государственных средств массовой информации;
- обеспечение технологической независимости Российской Федерации в важнейших областях информатизации, телекоммуникации и связи, определяющих ее безопасность, и в первую очередь в области создания специализированной вычислительной техники для образцов вооружения и военной техники;
- разработка современных методов и средств защиты информации, обеспечения безопасности информационных технологий, и прежде всего используемых в системах управления войсками и оружием, экологически опасными и экономически важными производствами.
Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб. Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам. В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации. Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др. Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.
Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности.
Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.
Основными целями защиты информации
являются обеспечение
Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.
Совокупность способов обеспечения
информационной безопасности может
быть подразделена на общие и частные,
применение которых обусловливается
масштабностью защитных действий. Разрушение
важной информации, кража конфиденциальных
данных, перерыв в работе вследствие
отказа - все это выливается в
крупные материальные потери, наносит
ущерб репутации организации. Проблемы
с системами управления или медицинскими
системами угрожают здоровью и жизни
людей. Современные информационные
системы сложны и, значит, опасны уже сами
по себе, даже без учета активности злоумышленников.
Постоянно обнаруживаются новые уязвимые
места в программном обеспечении. Приходится
принимать во внимание чрезвычайно широкий
спектр аппаратного и программного обеспечения,
многочисленные связи между компонентами.
Обеспечение информационной безопасности
Российской Федерации в сфере экономики
играет ключевую роль в обеспечении национальной
безопасности Российской Федерации.
Воздействию угроз информационной безопасности
Российской Федерации в сфере экономики
наиболее подвержены:
- система государственной статистики;
- кредитно-финансовая система;
- информационные и учетные автоматизированные
системы подразделений федеральных органов
исполнительной власти, обеспечивающих
деятельность общества и государства
в сфере экономики;
- системы бухгалтерского учета предприятий,
учреждений и организаций независимо
от формы собственности;
- системы сбора, обработки, хранения и
передачи финансовой, биржевой, налоговой,
таможенной информации и информации о
внешнеэкономической деятельности государства,
а также предприятий, учреждений и организаций
независимо от формы собственности. Переход
к рыночным отношениям в экономике вызвал
появление на внутреннем российском рынке
товаров и услуг множества отечественных
и зарубежных коммерческих структур -
производителей и потребителей информации,
средств информатизации и защиты информации.
Бесконтрольная деятельность этих структур
по созданию и защите систем сбора, обработки,
хранения и передачи статистической, финансовой,
биржевой, налоговой, таможенной информации
создает реальную угрозу безопасности
России в экономической сфере. Аналогичные
угрозы возникают при бесконтрольном
привлечении иностранных фирм к созданию
подобных систем, поскольку при этом складываются
благоприятные условия для несанкционированного
доступа к конфиденциальной экономической
информации и для контроля за процессами
ее передачи и обработки со стороны иностранных
спецслужб. Критическое состояние предприятий
национальных отраслей промышленности,
разрабатывающих и производящих средства
информатизации, телекоммуникации, связи
и защиты информации, приводит к широкому
использованию соответствующих импортных
средств, что создает угрозу возникновения
технологической зависимости России от
иностранных государств.
Серьезную угрозу для нормального функционирования
экономики в целом представляют компьютерные
преступления, связанные с проникновением
криминальных элементов в компьютерные
системы и сети банков и иных кредитных
организаций. Недостаточность нормативной
правовой базы, определяющей ответственность
хозяйствующих субъектов за недостоверность
или сокрытие сведений об их коммерческой
деятельности, о потребительских свойствах
производимых ими товаров и услуг, о результатах
их хозяйственной деятельности, об инвестициях
и тому подобном, препятствует нормальному
функционированию хозяйствующих субъектов.
В то же время существенный экономический
ущерб хозяйствующим субъектам может
быть нанесен вследствие разглашения
информации, содержащей коммерческую
тайну. В системах сбора, обработки, хранения
и передачи финансовой, биржевой, налоговой,
таможенной информации наиболее опасны
противоправное копирование информации
и ее искажение вследствие преднамеренных
или случайных нарушений технологии работы
с информацией, несанкционированного
доступа к ней. Это касается и федеральных
органов исполнительной власти, занятых
формированием и распространением информации
о внешнеэкономической деятельности Российской
Федерации.
Основными мерами по обеспечению информационной
безопасности Российской Федерации в
сфере экономики являются:
- организация и осуществление государственного
контроля за созданием, развитием и защитой
систем и средств сбора, обработки, хранения
и передачи статистической, финансовой,
биржевой, налоговой, таможенной информации;
- коренная перестройка системы государственной
статистической отчетности в целях обеспечения
достоверности, полноты и защищенности
информации, осуществляемая путем введения
строгой юридической ответственности
должностных лиц за подготовку первичной
информации, организацию контроля за деятельностью
этих лиц и служб обработки и анализа статистической
информации, а также путем ограничения
коммерциализации такой информации;
- разработка национальных
сертифицированных средств
- разработка и внедрение национальных
защищенных систем электронных платежей
на базе интеллектуальных карт, систем
электронных денег и электронной торговли,
стандартизация этих систем, а также разработка
нормативной правовой базы, регламентирующей
их использование;
- совершенствование нормативной правовой
базы, регулирующей информационные отношения
в сфере экономики;
- совершенствование методов отбора и
подготовки персонала для работы в системах
сбора, обработки, хранения и передачи
экономической информации.

- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная безопасность
- Информационная база проведения анализа инвестиционного проекта
- Информационная база управленческого анализа
- Информационная база финансового менеджмента
- Информационная база финансового менеджмента
- Информационная база формирования бухгалтерской (финансовой) отчетности на примере организации ОАО "Актанышский Мукомольный завод"
- Информационная база, цели и подходы аудита финансовой отчетности
- Информационная база, цели и подходы к проведению аудита финансовой отчетности