Файл: Назначение и структура системы защиты информации в коммерческих предприятиях.pdf
Добавлен: 30.06.2023
Просмотров: 49
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ СУЩНОСТЬ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
1.1 Проблема защиты информации
1.2 Требования к обработке информации в информационных системах коммерческих предприятий
ГЛАВА 2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
2.2 Воздействие вредоносных программ
3.1 Правовые основы обеспечения информационной безопасности
3.2 Основные методы и средства защиты информации
ВВЕДЕНИЕ
Актуальность проблемы защиты информации связана с ростом возможностей вычислительной техники. Развитие средств, методов и форм автоматизации процессов обработки информации, массовость применения компьютерных технологий резко повышают уязвимость информации. Потребность в обеспечении информационной безопасности связана с тем, что существует множество субъектов и структур, как правило коммерческих, весьма заинтересованных в чужих данных, за которые готовы платить высокую цену.
Целью написания курсовой работы на тему «Назначение и структура системы защиты информации в коммерческих предприятиях» является обоснование необходимости защиты информации в автоматизированных информационных технологиях, подробный анализ организации системы защиты информации в информационных системах коммерческих предприятий и оценка ее эффективности.
Предметом исследования является информационная безопасность АИТ, объектом исследования – информация, используемая в АИТ.
Согласно заявленной цели выделим ряд взаимосвязанных задач:
- изучить теоретические аспекты защиты информации в информационных системах коммерческих предприятий;
- исследовать определение понятия угрозы информационной безопасности в информационных системах коммерческих предприятий;
- рассмотреть основные способы реализации угроз, привести вариант их классификации;
- проанализировать современные методы и средства защиты информации в информационных системах коммерческих предприятий и оценить их эффективность;
- рассмотреть основные принципы и этапы создания системы защиты информации экономических систем.
Были использованы следующие методы исследования: теоретический анализ, обобщение, индуктивные и дедуктивные методы.
Курсовая работа основана на учебниках по СЗИ или защите информации различных авторов, в том числе учебник Герасименко В.А. и Малюка А.А. и пособие Морозовой Е.В., статьи А.И. Алексенцева и учебник Н.В. Гришиной, пособие А.А. Гладких и В.Е. Дементьева.
ГЛАВА 1. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ СУЩНОСТЬ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
1.1 Проблема защиты информации
Безопасность информации - степень защищенности информации, хранимой и обрабатываемой в автоматизированной системе, от негативного воздействия на нее, с точки зрения нарушения ее физической и логической целостности или несанкционированного использования [7].
Рассматривая проблемы безопасности информации важно понимать степень ее защищенности.
Защищенность информации - поддержание на заданном уровне тех параметров информации, находящейся в автоматизированной системе, которые обеспечивают установленный статус ее хранения, обработки и использования [2]. Под комплексной защитой информации подразумевается целенаправленное регулярное применение в автоматизированных системах средств и методов защиты информации, а также комплекс мероприятий, который осуществляется для поддержания необходимого уровня защищенности информации по всем категориям показателей и условий, являющихся значимыми с точки зрения обеспечения безопасности информации.
Таким образом, безопасная информационная система — это система, которая по определению обладает свойствами конфиденциальности, доступности и целостности, т.е:
- защищает данные от несанкционированного доступа;
- всегда готова предоставить их своим пользователям;
- надежно хранит информацию и гарантирует неизменность данных.
В данном случае под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации. В общем виде процесс воздействия на информацию отражен на рисунке 1.
Рисунок 1 – Воздействие на информацию
Проблема защиты информации является комплексом взаимосвязанных целей и задач, а также проблем в областях права, организации управления, разработки технических средств, программирования и математики.
Любой системе управления экономическим объектом соответствует экономическая информационная система или совокупность внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управляющих решений.
Согласно федеральному закону «Об информации, информатизации и защите информации», информационная система – это организационно упорядоченная совокупность документов и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы (процессы сбора, обработки, накопления, хранения, поиска и распространения информации) [18].
Большое число функциональных особенностей для экономических информационных систем выделяется по значительному числу классификационных признаков. Так, в соответствии с уровнем применения и административным делением можно различать информационные системы различных уровней – отдельного предприятия, района, государства и т.д.
В экономике с учетом сферы применения выделяются:
- банковские информационные системы;
- информационные системы фондового рынка;
- страховые информационные системы;
- налоговые информационные системы;
- информационные системы промышленных предприятий и организаций;
- статистические информационные системы и др.
Информационные системы коммерческих предприятий накапливают и перерабатывают поступающую учетную информацию и имеющиеся нормативы, и планы в аналитическую информацию - основу для прогнозирования развития экономической системы, корректировки ее целей и создания планов для нового цикла воспроизводства.
1.2 Требования к обработке информации в информационных системах коммерческих предприятий
К обработке информации в информационных системах коммерческих предприятий предъявляются следующие требования:
- полнота и достаточность информации для реализации функций управления;
- своевременность предоставления информации;
- соответствие уровню управления;
- обеспечение достоверности информации;
- экономичность обработки информации;
- адаптивность к изменяющимся информационный потребностям пользователей [4].
Само понятие информационной безопасности имеет смысл только для тех систем, в которых эта проблема существовала и до их автоматизации. До применения компьютерных технологий в любой организации, для которой безопасность информации имела определенное значение, был установлен определенный порядок работы с информацией, регламентирующий информационные потоки внутри организации и обмен информацией с внешним миром.
Решение этой задачи осуществляется последовательным осуществлением следующих действий:
- определение механизма, выражающего заданную схему информационных потоков и правил управления ими;
- построение модели безопасности, отражающей заданный порядок обработки информации, и формальное доказательство ее безопасности;
- реализация системы обработки информации в соответствии с предложенной моделью.
При осуществлении указанного алгоритма разработчики зачастую сталкиваются с проблемой неполноты информации, сложности реализации на практике разработанных концепций и теорий, необходимости внедрения компонентов в систему, что может привести к расхождениям с установленной моделью безопасности и др.
Однако, контроль доступа к объектам системы имеет ключевое значение для обеспечения защиты информации и безопасности всей системы в целом.
Поэтому в процессе обеспечения информационной безопасности любой системы коммерческого предприятия крайне важен процесс выявления угроз безопасности, возможных каналов утечки информации и путей несанкционированного доступа к защищаемым данным, а также разработка действенных и эффективных мер предупреждения и устранения влияния данных факторов.
ГЛАВА 2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ
2.1 Информационные угрозы
Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Факторы, которыми могут быть обусловлены информационные угрозы приведены на рисунке 2.
Рисунок 2 – Факторы информационных угроз
При потере ценности информации реализуется угроза нарушения ее конфиденциальности. Если информация изменяется или уничтожается с потерей ценности, то реализуется угроза целостности. Если информация вовремя не поступает легальному пользователю, реализуется угроза оперативности использования или доступности информации.
Информационные угрозы подразделяются также на:
- Пассивные и активные. Пассивные направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование (попытка получения информации, циркулирующей в каналах связи, посредством прослушивания). Активные угрозы нарушают процесс работы системы за счет целенаправленного воздействия на аппаратные, программные и информационные ресурсы (посредством разрушения и радиоэлектронного подавления линий связи, вывода из строя компьютера или операционной системы, искажения сведений в базах данных либо в системной информации и т.д.) Источниками активных угроз могут быть активные действия злоумышленников, влияние вредоносных программ и т.п.
- Внутренние и внешние. Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом. Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями.
К основным угрозам безопасности относят:
1) разглашение конфиденциальной информации;
2) утечка конфиденциальной информации;
3) несанкционированный доступ к защищаемой информации [4].
Рассмотрим каждую из угроз подробнее.
А. Разглашение информации ее владельцем или обладателем – умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.
Б. Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы информационной системы или определённого пула лиц, которым информация была доверена в связи с занимаемой должностью или стала известна в ходе работы.
Причины утечки связаны, как правило, с несовершенством норм по сохранению информации, а также их нарушением, отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.
К факторам утечки могут относиться:
- недостаточное знание работниками предприятия правил защиты информации и непонимание необходимости их тщательного соблюдения;
- использование неаттестованных технических средств обработки конфиденциальной информации;
- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами.
В) Несанкционированный доступ - наиболее распространенный вид информационных угроз, который заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности.
Есть и достаточно примитивные пути несанкционированного доступа:
- хищение носителей информации и документальных отходов;
- инициативное сотрудничество;
- склонение к сотрудничеству со стороны взломщика;
- выпытывание;
- подслушивание;
- наблюдение и другие пути.
Идентификация угроз предполагает рассмотрение воздействий и последствий от реализации угроз. Обычно воздействие угроз приводит к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании. Значительными и долговременными последствиями реализации угроз являются потеря бизнеса, нарушение коммерческой тайны, гражданских прав, и даже потеря человеческой жизни или ухудшение ее качества [14].