Современное развитие мировой экономики характеризуется возрастающей зависимостью рынка от значительного объема информационных потоков. Актуальность проблем, связанных с защитой потоков данных и безопасностью информации, связанной с их обработкой и передачей, становится все более актуальной. Проблема защиты информации является многоплановой и комплексной. Современное развитие электроники, технических средств обработки, хранения и защиты информации интенсивно развивается. При этом способы несанкционированного доступа и использования улучшаются как на программном, так и на программном и аппаратном уровнях.
Фраза «информационная безопасность» может иметь разное значение в разных контекстах. В Доктрине информационной безопасности Российской Федерации термин «информационная безопасность» используется в широком смысле. Это состояние защиты национальных интересов в сфере информации, определяемое совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ «Об участии в международном информационном обмене» (закон утратил силу, в настоящее время действует «Об информации, информационных технологиях и о защите информации») информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Раздел 1. Понятие информационной безопасности
Под информационной безопасностью понимается защита информации и ее поддерживающей инфраструктуры от любого случайного или злонамеренного воздействия, которое может нанести ущерб самой информации, ее владельцам или поддерживающей инфраструктуре.
Информационная безопасность организации: состояние безопасности информационной среды организации, которое обеспечивает ее формирование, использование и развитие.
В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т.п.) и информационнопсихологическую (естественный мир живой природы, включающий и самого человека).
Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационнопсихологической (психофизической) безопасностью1
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
Информационные технологии в правотворческой деятельности
... «Информационные технологии в юридической деятельности» для слушателей заочной формы обучения Задание № 1 Методические рекомендации по написанию реферата Номер ... зачетки Тема Информационные системы в деятельности юриста. Информационная безопасность и безопасность информации Компьютерные преступления. Основные признаки. Понятие информационной безопасности. Интернет. Мировая информационная паутина. ...
- Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
- Целостность — избежание несанкционированной модификации информации;
- Доступность: избегайте временного или постоянного сокрытия информации от пользователей, получивших права доступа.
Выделяют и другие не всегда обязательные категории модели безопасности:
- неотказуемость или апеллируемость — невозможность отказа от Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий . ИНТУИТ.ру, 2008. – 22 с. авторства;
- подотчётность — обеспечение идентификации субъекта доступа и регистрации его достоверность — свойство соответствия предусмотренному поведению или результату;
- аутентичность или подлинность — свойство, гарантирующее, что субъект или ресурс идентичны заявленным2.
Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:
1. Действия, осуществляемые авторизованными пользователями. В эту категорию попадают: целенаправленная кража или уничтожение данных на рабочей станции или сервере; повреждение данных пользователей в результате неосторожных действий.
2. «Электронные» методы воздействия, осуществляемые хакерами. Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся: несанкционированное проникновение в компьютерные сети; DOS_атаки.
Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т.п.
Атака типа DOS (сокр. от Denial of Service — «отказ в обслуживании») это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера).
Злоумышленники организуют массовую отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, как следствие, отключить их на некоторое время. Это, как правило, влечет за собой нарушения в бизнес-процессах компании Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ.ру, 2005. – 39 с. жертвы, потерю клиентов, ущерб репутации и т.п.
3. Компьютерные вирусы. Отдельную категорию электронных методов воздействия составляют компьютерные вирусы и другие вредоносные программы. Они представляют реальную угрозу для современного бизнеса, который широко использует компьютерные сети, Интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к их нарушению, потере рабочего времени, потере данных, краже конфиденциальной информации и даже прямому хищению средств. Антивирусная программа, проникшая в корпоративную сеть, может предоставить киберпреступникам частичный или полный контроль над деятельностью компании.
4. Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности: электронная почта в последнее время стала главным каналом распространения вредоносных программ; спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта; как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами; вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.
Управление рисками при решении задач обеспечения экономической ...
... безопасности предприятия. Объект исследования - ООО НПП «Старт-Гидромаш». Предмет исследования - система управления рисками организации. Информационно-методическую основу исследования составляют труды зарубежных и отечественных ученых в области теории управления рисками на ...
5. «Естественные» угрозы. На информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форсмажорные обстоятельства и т.д.3
Таким образом, в современных условиях наличие развитой системы информационной безопасности становится одним из важнейших условий Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2009. – 194 с. конкурентоспособности и даже жизнеспособности любой компании.
Раздел 2. Управление рисками
Информационная безопасность должна быть обеспечена за счет рентабельных мер. В аннотации описана методика, позволяющая сравнить возможные потери от нарушений ИБ со стоимостью защитных устройств. Основные концепции Управление рисками рассматривается нами на административном уровне информационной безопасности, поскольку только руководство организации может выделять необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ. Вообще говоря, управление рисками, равно как и выработка собственной политики безопасности, актуально только для тех организаций, информационные системы которых и/или обрабатываемые данные можно считать нестандартными. Обычную организацию вполне устроит типовой набор защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно с формальной точки зрения, в свете проанализированного нами ранее российского законодательства в области ИБ).
Можно провести аналогию между индивидуальным строительством и приемом квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором достаточно определиться только по нескольким параметрам. Более подробно данный аспект рассмотрен в статье Сергея Симонова «Анализ рисков, управления рисками» (Jet Info, 1999, 1).
Использование информационных систем связано с определенным набором рисков. Когда потенциальный ущерб неприемлемо велик, необходимо принять экономически обоснованные защитные меры. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки. С количественной точки зрения уровень риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимые места), а также величины возможного ущерба.
Таким образом, суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены в приемлемые рамки (и остаются таковыми).
Следовательно, управление рисками включает в себя два вида
деятельности, которые чередуются циклически:
Управление безопасностью труда персонала в организации (на примере ...
... управления охраной труда в организации. Целью данной работы является изучение системы управления безопасностью рабочих мест в организации и разработка предложений по ее совершенствованию. Чтобы достичь поставленной цели необходимо решить следующие ... пыли, что увеличивает риск поражения электрическим током для человека. Поэтому при несоблюдении санитарно-гигиенических правил охраны труда все вредные и ...
- (пере)оценка (измерение) рисков;
- выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
- ликвидация риска (например, за счет устранения причины);
- уменьшение риска (например, за счет использования дополнительных защитных средств);
- принятие риска (и выработка плана действия в соответствующих условиях);
- переадресация риска (например, путем заключения страхового соглашения).
Процесс управления рисками можно разделить на следующие этапы:
1) Выбор анализируемых объектов и уровня детализации их
рассмотрения.
2) Выбор методологии оценки рисков.
3) Идентификация активов.
4) Анализ угроз и их последствий, выявление уязвимых мест в защите.
5) Оценка рисков.
6) Выбор защитных мер.
7) Реализация и проверка выбранных мер.
8) Оценка остаточного риска.
Этапы 6 и 7 относятся к выбору защитных средств (нейтрализации рисков), остальные — к оценке рисков.
Уже перечисление шагов показывает, что управление рисками — это циклический процесс. По сути, последний шаг — это оператор конца цикла, который говорит вам вернуться к началу. Риски необходимо постоянно контролировать, периодически переоценивая их. Обратите внимание, что добросовестная и хорошо задокументированная первая оценка может значительно упростить последующее наблюдение. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл ИС. Тогда эффект оказывается наибольшим, а затраты — минимальными. Ранее мы определили пять этапов жизненного цикла. Кратко опишем, что может дать управление рисками на каждом из них.
На начальном этапе следует учитывать известные риски при разработке требований к системе в целом и к оборудованию безопасности в частности. На этапе закупки (разработки) знание рисков поможет выбрать соответствующие архитектурные решения, которые играют ключевую роль в обеспечении безопасности. На этапе установки идентифицированные риски следует учитывать во время конфигурации, тестирования и проверки ранее сформулированных требований, и весь цикл управления рисками должен предшествовать вводу системы в эксплуатацию.
На этапе эксплуатации управление рисками должно сопровождать все существенные изменения в системе. При выводе системы из эксплуатации управление рисками помогает обеспечить безопасный перенос данных.
Раздел 3. Подготовительные и основные этапы управления
рисками
В этом разделе описаны первые три этапа процесса управления рисками. Выбор анализируемых объектов и степень их детализации — первый шаг в оценке риска. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организация крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В этом случае следует сосредоточиться на наиболее важных услугах, заранее согласовав приблизительную итоговую расценку. Если по-прежнему существует много важных услуг, выбираются те, для которых известно, что риски высоки или неизвестны. Мы уже указали возможность создания карты информационной системы организации. Эта карта особенно важна для управления рисками, так как на ней четко показано, какие услуги были выбраны для анализа, а какие нельзя было упустить.
Оценка рисков проекта и управление ими
... повторений. Правила составления реестра/списка рисков. 3. Оценка рисков. 3.1. Качественный анализ рисков. 3.2. Количественный анализ рисков Анализ рисков — это процесс определения приоритетов рисков на основе оценки ... риском. Разработайте ответ на риски: определите возможные превентивные действия для угрожающих событий или лучше используйте возможности. Ответы на угрозы подразделяются на следующие ...
Если ИБ изменится и карта будет обновляться, то при повторной оценке рисков сразу станет ясно, какие новые или существенно измененные услуги необходимо учитывать. В общем, уязвим каждый компонент информационной системы: от сетевого кабеля, который могут прогрызть мыши, до базы данных, которая может быть уничтожена из-за неумелых действий администратора. Как правило, невозможно включить в анализ каждую шестеренку и каждый байт. Мы должны остановиться на определенном уровне детализации, всегда осознавая приближение оценки. Для новых систем предпочтителен детальный анализ; старая система, подвергшаяся небольшим модификациям, может быть проанализирована более поверхностно. Очень важно выбрать разумную методологию оценки рисков. Цель оценки — ответить на два вопроса: приемлемы ли существующие риски и, если нет, то какие средства защиты следует использовать. Это означает, что оценка должна быть количественной, позволяющей сравнивать с заранее выбранными пределами приемлемости и стоимостью внедрения новых регуляторов безопасности.
Управление рисками — типичная оптимизационная задача, и существует довольно много программных продуктов, способных помочь в ее решении (иногда подобные продукты просто прилагаются к книгам по информационной безопасности).
Однако основная трудность — неточность исходных данных. Можно, конечно, попытаться получить для всех анализируемых величин денежное выражение, высчитать все с точностью до копейки, но большого смысла в этом нет. Практичнее пользоваться условными единицами. В простейшем и вполне приемлемом случае можно использовать трехбалльную шкалу. Далее мы продемонстрируем, как это делается. При идентификации ресурсов, то есть тех ресурсов и ценностей, которые организация пытается защитить, очевидно, следует учитывать не только компоненты информационной системы, но также вспомогательную инфраструктуру, персонал и нематериальные активы, такие как репутация организации. Отправной точкой здесь является представление о миссии организации, то есть об основных направлениях деятельности, которые желательно (или необходимо) сохранить в любом случае. В объектно-ориентированном языке первым шагом является описание внешнего интерфейса организации, рассматриваемой как абстрактный объект. Одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее (структуры) использования. Рекомендуется отображать эту информацию на IP-карте в виде граней соответствующих объектов. Информационной основой сколько-нибудь крупной организации является сеть, поэтому в число аппаратных активов следует включить компьютеры (серверы, рабочие станции, ПК), периферийные устройства, внешние интерфейсы, кабельное хозяйство, активное сетевое оборудование (мосты, маршрутизаторы и т.п.).
«Безопасность труда в жизни людей»
... завершить свои размышления о безопасности на работе словами: «Соблюдая элементарные правила по охране труда, мы делаем нашу жизнь ... на производстве и сохранение здоровья рабочих в процессе работы. Но в жизни всё гораздо сложнее. Рядом со всеми нельзя поставить специалиста по охране труда, ... делать, должен подумать о своей безопасности и безопасности других. Следует помнить, что опасность могут нести ...
К программным активам, вероятно, будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, средства управления сетью и отдельными системами. Важно зафиксировать, где (в каких узлах сети) хранится программное обеспечение, и из каких узлов оно используется. Третий тип информационных ресурсов — это данные, которые хранятся, обрабатываются и передаются по сети4.
Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, способы доступа к ним. Все это важно при оценке последствий нарушений информационной безопасности. Управление рисками — процесс далеко не линейный. Практически все его этапы взаимосвязаны и по завершении почти всех может возникнуть необходимость вернуться к предыдущему. Поэтому при выявлении ресурсов может оказаться, что выбранные границы анализа следует расширить, а степень детализации — повысить. Первичный анализ особенно труден, когда неизбежны многократные возвращения к началу.
Шаги, предшествующие анализу угроз, можно считать подготовительными, поскольку, строго говоря, они не имеют прямого отношения к рискам. Риск появляется там, где есть угрозы. Ранее мы обсуждали краткий список наиболее распространенных угроз. К сожалению, на практике угроз гораздо больше, и не все из них носят кибернетический характер. Таким образом, вполне реальную угрозу представляет присутствие мышей и тараканов в помещениях, занимаемых организацией. Первые могут повредить кабели, вторые вызвать короткое замыкание. Как правило, наличие той или иной угрозы является следствием пробелов в защите информационной системы, которые, в свою очередь, объясняются отсутствием некоторых служб безопасности или недостатками в механизмах защиты, реализующих их. Опасность прогрызания кабелей возникает не просто там, где есть мыши, она связана с отсутствием или недостаточной прочностью защитной Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2000. — 428 с. оболочки. Первый шаг в анализе угроз — их идентификация. Рассматриваемые виды угроз следует выбирать исходя из соображений здравого смысла (исключив, например, землетрясения, однако, не забывая о возможности захвата организации террористами), но в пределах выбранных видов провести максимально подробный анализ. желательно определять не только сами угрозы, но и источники их возникновения — это поможет в выборе дополнительных средств защиты. Например, незаконный вход в систему может быть результатом воспроизведения начального диалога, угадывания пароля или подключения к сети неавторизованного оборудования. Конечно, для противодействия каждому из перечисленных методов незаконного проникновения необходимы собственные механизмы безопасности. Выявив угрозу, необходимо оценить вероятность ее реализации.
Допустимо использовать при этом трехбалльную шкалу (низкая (1), средняя (2) и высокая (3) вероятность).
Реферат стратегия национальной безопасности рф
... РФ от 12.05.2009 № 537. Принимая во внимание, что в соответствии со Стратегией «национальная безопасность –это состояние защищенности личности, общества и государства от внутренних и внешних угроз, ... статуса прокуратуры в государственной системе обеспечения национальной безопасности. Достижение поставленной цели предопределило следующие исследовательские задачи: - исследовать теоретико- ...
Кроме вероятности осуществления, важен размер потенциального ущерба. Например, пожары случаются редко, но урон от каждого из них обычно велик. Тяжесть ущерба также можно оценить по трехбалльной шкале. Оценивая размер ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, такие как подрыв репутации, ослабление позиций на рынке и т.п. Например, предположим, что из-за недостатков в управлении доступом к учетной информации сотрудники смогли исправить свои данные о заработной плате. Следствием такого положения вещей может быть не только чрезмерное расходование бюджетных или бизнес-средств, но и полное разложение коллектива, грозящее крахом организации. Уязвимости привлекают не только злоумышленников, но и относительно честных людей. Не всякий устоит перед искушением немного увеличить свою зарплату, если есть уверенность, что это сойдет с рук. Поэтому при оценке вероятности угроз целесообразно исходить не только из среднестатистических данных, но и учитывать специфику конкретных информационных систем. Если сауна находится в подвале дома, занимаемого организацией, а сам дом имеет деревянные полы, к сожалению, вероятность возгорания значительно выше средней. После накопления исходных данных и оценки степени неопределенности можно приступить к обработке информации, то есть к оценке фактического риска. вполне допустимо применить такой простой метод, как умножение вероятности возникновения угрозы на ожидаемый ущерб. Если для вероятности и ущерба использовать трехбалльную шкалу, то возможных произведений будет шесть: 1, 2, 3, 4, 6 и 9. Первые два результата можно отнести к низкому риску, третий и четвертый — к среднему, последние два — к высокому, после чего появляется возможность свести их к трехбалльной шкале. По этой шкале и следует оценивать приемлемость рисков5.
правда, пограничные случаи, когда расчетное значение совпадает с допустимым, следует рассматривать более внимательно из-за приблизительного характера результата. Если какие-либо риски окажутся неприемлемо высокими, их необходимо нейтрализовать путем принятия дополнительных мер защиты. Как правило, для устранения или нейтрализации уязвимости, которая сделала угрозу реальной, существует несколько механизмов безопасности, различающихся по эффективности и стоимости. Например, если велика вероятность нелегального входа в систему, можно потребовать, чтобы пользователи выбирали длинные пароли (скажем, не менее восьми символов), задействовать программу генерации паролей или закупить интегрированную систему аутентификации на основе интеллектуальных карт. Оценивая стоимость мер защиты, приходится, разумеется, учитывать не только прямые расходы на закупку оборудования и/или программ, но и расходы на внедрение новинки и, в частности, обучение и переподготовку персонала. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. – 57 с.
Заключение
С ростом сложности информационных технологий компании сталкиваются со все более сложными киберрисками. Если бы была возможность обнаружить и определить уязвимость безопасности в процессе создания продукта деятельности то оправданы ли будут затраты на разработку таких методов?
Многие предприятия тонут в потоке данных. В большинстве случаев объем доступных данных позволяет получить информацию, необходимую для оценки безопасности информации. Но проблема в том что не всегда и не все могут получать эту информацию. Решением этой проблемы является механизм, который позволит вам анализировать факты и выделять информацию, необходимую для их оценки, превращая их в знания о безопасности.
Экологические риски на предприятиях. Расчет экологического ущерба
... целью работы является изучение теоретических и практических основ управления экологическими рисками на предприятии, расчета экологического ущерба, а также разработка показателей повышения экологической безопасности. В соответствии с целью перед работой поставлены следующие ...
Список литературы
[Электронный ресурс]//URL: https://management.econlib.ru/referat/upravlenie-sistemoy-servisa-bezopasnosti/
1. Галатенко, В.А. Основы информационной безопасности. Интернетуниверситет информационных технологий . ИНТУИТ.ру, 2008.
2. Галатенко, В.А. Стандарты информационной безопасности. Интернет-университет информационных технологий. ИНТУИТ.ру, 2005.
3. Лопатин, В.Н. Информационная безопасность России: Человек, общество, государство. Серия: Безопасность человека и общества. М.: 2000.
4. Шаньгин, В.Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008.
5. Щербаков, А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. М.: Книжный мир, 2009.
