Файл: Назначение и структура системы защиты информации в коммерческих предприятиях.pdf

ВВЕДЕНИЕ

Актуальность проблемы защиты информации связана с ростом возможностей вычислительной техники. Развитие средств, методов и форм автоматизации процессов обработки информации, массовость применения компьютерных технологий резко повышают уязвимость информации. Потребность в обеспечении информационной безопасности связана с тем, что существует множество субъектов и структур, как правило коммерческих, весьма заинтересованных в чужих данных, за которые готовы платить высокую цену.

Целью написания курсовой работы на тему «Назначение и структура системы защиты информации в коммерческих предприятиях» является обоснование необходимости защиты информации в автоматизированных информационных технологиях, подробный анализ организации системы защиты информации в информационных системах коммерческих предприятий и оценка ее эффективности.

Предметом исследования является информационная безопасность АИТ, объектом исследования – информация, используемая в АИТ.

Согласно заявленной цели выделим ряд взаимосвязанных задач:

- изучить теоретические аспекты защиты информации в информационных системах коммерческих предприятий;

- исследовать определение понятия угрозы информационной безопасности в информационных системах коммерческих предприятий;

- рассмотреть основные способы реализации угроз, привести вариант их классификации;

- проанализировать современные методы и средства защиты информации в информационных системах коммерческих предприятий и оценить их эффективность;

- рассмотреть основные принципы и этапы создания системы защиты информации экономических систем.

Были использованы следующие методы исследования: теоретический анализ, обобщение, индуктивные и дедуктивные методы.

Курсовая работа основана на учебниках по СЗИ или защите информации различных авторов, в том числе учебник Герасименко В.А. и Малюка А.А. и пособие Морозовой Е.В., статьи А.И. Алексенцева и учебник Н.В. Гришиной, пособие А.А. Гладких и В.Е. Дементьева.

ГЛАВА 1. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ СУЩНОСТЬ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ

1.1 Проблема защиты информации

Безопасность информации - степень защищенности информации, хранимой и обрабатываемой в автоматизированной системе, от негативного воздействия на нее, с точки зрения нарушения ее физической и логической целостности или несанкционированного использования [7].

Рассматривая проблемы безопасности информации важно понимать степень ее защищенности.

Защищенность информации - поддержание на заданном уровне тех параметров информации, находящейся в автоматизированной системе, которые обеспечивают установленный статус ее хранения, обработки и использования [2]. Под комплексной защитой информации подразумевается целенаправленное регулярное применение в автоматизированных системах средств и методов защиты информации, а также комплекс мероприятий, который осуществляется для поддержания необходимого уровня защищенности информации по всем категориям показателей и условий, являющихся значимыми с точки зрения обеспечения безопасности информации.

Таким образом, безопасная информационная система — это система, которая по определению обладает свойствами конфиденциальности, доступности и целостности, т.е:

- защищает данные от несанкционированного доступа;

- всегда готова предоставить их своим пользователям;

- надежно хранит информацию и гарантирует неизменность данных.

В данном случае под целостностью понимается невозможность несанкционированного или случайного уничтожения, а также модификации информации. Под конфиденциальностью информации - невозможность утечки и несанкционированного завладения хранящейся, передаваемой или принимаемой информации. В общем виде процесс воздействия на информацию отражен на рисунке 1.

Рисунок 1 – Воздействие на информацию

Проблема защиты информации является комплексом взаимосвязанных целей и задач, а также проблем в областях права, организации управления, разработки технических средств, программирования и математики.

Любой системе управления экономическим объектом соответствует экономическая информационная система или совокупность внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управляющих решений.

Согласно федеральному закону «Об информации, информатизации и защите информации», информационная система – это организационно упорядоченная совокупность документов и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы (процессы сбора, обработки, накопления, хранения, поиска и распространения информации) [18].

Большое число функциональных особенностей для экономических информационных систем выделяется по значительному числу классификационных признаков. Так, в соответствии с уровнем применения и административным делением можно различать информационные системы различных уровней – отдельного предприятия, района, государства и т.д.

В экономике с учетом сферы применения выделяются:

- банковские информационные системы;

- информационные системы фондового рынка;

- страховые информационные системы;

- налоговые информационные системы;

- информационные системы промышленных предприятий и организаций;

- статистические информационные системы и др.

Информационные системы коммерческих предприятий накапливают и перерабатывают поступающую учетную информацию и имеющиеся нормативы, и планы в аналитическую информацию - основу для прогнозирования развития экономической системы, корректировки ее целей и создания планов для нового цикла воспроизводства.

1.2 Требования к обработке информации в информационных системах коммерческих предприятий

К обработке информации в информационных системах коммерческих предприятий предъявляются следующие требования:

1. полнота и достаточность информации для реализации функций управления;
2. своевременность предоставления информации;
3. соответствие уровню управления;
4. обеспечение достоверности информации;
5. экономичность обработки информации;
6. адаптивность к изменяющимся информационный потребностям пользователей [4].

Само понятие информационной безопасности имеет смысл только для тех систем, в которых эта проблема существовала и до их автоматизации. До применения компьютерных технологий в любой организации, для которой безопасность информации имела определенное значение, был установлен определенный порядок работы с информацией, регламентирующий информационные потоки внутри организации и обмен информацией с внешним миром.

Решение этой задачи осуществляется последовательным осуществлением следующих действий:

- определение механизма, выражающего заданную схему информационных потоков и правил управления ими;

- построение модели безопасности, отражающей заданный порядок обработки информации, и формальное доказательство ее безопасности;

- реализация системы обработки информации в соответствии с предложенной моделью.

При осуществлении указанного алгоритма разработчики зачастую сталкиваются с проблемой неполноты информации, сложности реализации на практике разработанных концепций и теорий, необходимости внедрения компонентов в систему, что может привести к расхождениям с установленной моделью безопасности и др.

Однако, контроль доступа к объектам системы имеет ключевое значение для обеспечения защиты информации и безопасности всей системы в целом.

Поэтому в процессе обеспечения информационной безопасности любой системы коммерческого предприятия крайне важен процесс выявления угроз безопасности, возможных каналов утечки информации и путей несанкционированного доступа к защищаемым данным, а также разработка действенных и эффективных мер предупреждения и устранения влияния данных факторов.

ГЛАВА 2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ЭКОНОМИЧЕСКИХ ИНФОРМАЦИОННЫХ СИСТЕМ

2.1 Информационные угрозы

Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Факторы, которыми могут быть обусловлены информационные угрозы приведены на рисунке 2.

Рисунок 2 – Факторы информационных угроз

При потере ценности информации реализуется угроза нарушения ее конфиденциальности. Если информация изменяется или уничтожается с потерей ценности, то реализуется угроза целостности. Если информация вовремя не поступает легальному пользователю, реализуется угроза оперативности использования или доступности информации.

Информационные угрозы подразделяются также на:

1. Пассивные и активные. Пассивные направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование (попытка получения информации, циркулирующей в каналах связи, посредством прослушивания). Активные угрозы нарушают процесс работы системы за счет целенаправленного воздействия на аппаратные, программные и информационные ресурсы (посредством разрушения и радиоэлектронного подавления линий связи, вывода из строя компьютера или операционной системы, искажения сведений в базах данных либо в системной информации и т.д.) Источниками активных угроз могут быть активные действия злоумышленников, влияние вредоносных программ и т.п.
2. Внутренние и внешние. Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом. Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями.

К основным угрозам безопасности относят:

1) разглашение конфиденциальной информации;

2) утечка конфиденциальной информации;

3) несанкционированный доступ к защищаемой информации [4].

Рассмотрим каждую из угроз подробнее.

А. Разглашение информации ее владельцем или обладателем – умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Б. Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы информационной системы или определённого пула лиц, которым информация была доверена в связи с занимаемой должностью или стала известна в ходе работы.

Причины утечки связаны, как правило, с несовершенством норм по сохранению информации, а также их нарушением, отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.

К факторам утечки могут относиться:

- недостаточное знание работниками предприятия правил защиты информации и непонимание необходимости их тщательного соблюдения;

- использование неаттестованных технических средств обработки конфиденциальной информации;

- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами.

В) Несанкционированный доступ - наиболее распространенный вид информационных угроз, который заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности.

Есть и достаточно примитивные пути несанкционированного доступа:

- хищение носителей информации и документальных отходов;

- инициативное сотрудничество;

- склонение к сотрудничеству со стороны взломщика;

- выпытывание;

- подслушивание;

- наблюдение и другие пути.

Идентификация угроз предполагает рассмотрение воздействий и последствий от реализации угроз. Обычно воздействие угроз приводит к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании. Значительными и долговременными последствиями реализации угроз являются потеря бизнеса, нарушение коммерческой тайны, гражданских прав, и даже потеря человеческой жизни или ухудшение ее качества [14].