Добавлен: 30.04.2023
Просмотров: 511
Скачиваний: 16
СОДЕРЖАНИЕ
Глава 1.Понятие угроз информационной безопасности
1.1 Понятие угрозы информационной безопасности
1.2 Определение видов и состава угроз информационной безопасности
1.3 Влияние угроз информационной безопасности предприятия на другие виды безопасности
Глава 2. Рекомендации по снижению уровня угроз информационной безопасности
2.1 Организационные меры защиты от угроз информационной безопасности
2.2 Технические меры защиты от угроз информационной безопасности
Как видно из рисунка, самым ценным ресурсом являются документы. Это объясняется содержанием в них конфиденциальной информации, для безопасности которой организована вся система политики безопасности.
Вторым по важности объектом становится сервер БД, то есть среда хранения документов.
Третий сектор – это сервер ОС и ЭД. К нему относятся операционная система, оболочка информационного пространства (интерфейс), протоколы передачи данных и т.д. Стоит отметить, что при выходе из строя данных компонентов целостность данных не нарушается.
Четвертый, самый некритичный сектор - аппаратная система (каналы связи между компонентами, аппаратный межсетевой экран), выход из строя которой не приведет к разрушению хранимых документов, а неисправные комплектующие и провода можно заменить на новые.
Угрозы доступности характеризуют возможность доступа к хранимой и обрабатываемой информации в любой момент. Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих компоненты информационной среды.
Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).
Удаленные рабочие места и внешние каналы связи являются доступными для злоумышленника компонентами информационной среды. Используя халатное отношение при работе удаленного пользователя, злоумышленник может реализовать атаку несанкционированного доступа (НСД). Доступность же коммуникационных каналов во внешнем секторе может привести к перехвату злоумышленником информационных пакетов.
Все атаки на информационную среду предприятия можно условно разделить на три вида: локальные, удаленные и атаки на потоки данных [17].
В случае локальной атаки злоумышленник имеет физический доступ к информационным ресурсам предприятия. Подобные атаки характерны внутренних преднамеренных угроз. К ним относятся получение доступа на этапе загрузки операционной системы, атаки на средства аутентификации и т.п.
Удаленная атака осуществляется пользователем, не имеющего прямого доступа к интересующим его средствам вычислительной техники. Здесь стоит говорить и о внешних преднамеренных угрозах, к которым могут относиться атаки на маршрутизатор, сбор сведений о системе, заражение вредоносными программами и т.д.
Под атакой на поток данных подразумевается событие, когда между двумя компьютерами идет активный обмен данными по сети, и злоумышленник атакует сегмент сети или ее узел, находящийся между двумя взаимодействующими компьютерами. Такой вид атак реализует как внутренние преднамеренные угрозы, так и внешние. Специалисты разделяют атаки на поток данных на пассивные (злоумышленник, никак не выдавая свое присутствие, перехватывает все электронные документы для последующего изучения, но не имеет возможности модифицировать передаваемые сообщения) и активные (злоумышленник предпринимает ряд активных действий, направленных на перехват передаваемых электронных документов, то есть получает возможность модификации сообщений или передачи собственных данных).
В подготовленном в США «Руководстве по обеспечению безопасности Федеральных информационных систем» указывается, что атаки на ИС становятся агрессивными, хорошо взаимоувязанными и организованными. В зарегистрированных инцидентах кибер-атаки характеризуются как очень сложные. Успешные атаки в федеральном и частном секторе IT-систем могут приводить к катастрофическим последствиям
Источники угроз по отношению к ИС могут быть внешними или внутренними (это персонал и аппаратура, программы ИС).
Во избежание негативных последствий реализации перечисленных угроз необходимо провести анализ возможных источников угроз или уязвимостей, способствующих их появлению. В таких случаях цепочка вырастает в схему, представленную на рисунке 4.
Рисунок 4. Модель реализации угроз информационной безопасности
Подводя итог, отметим, что возможные угрозы информационной безопасности классифицируются в соответствии с главными характеристиками информации – доступность, целостность, конфиденциальность. Кроме того, возможно разделение атак на информационную среду предприятия на локальные, удаленные, атаки на поток данных.
1.3 Влияние угроз информационной безопасности предприятия на другие виды безопасности
Информация - решающий фактор, который определяет развитие технологии и ресурсов в целом. В связи с этим, очень важно понимание не только взаимосвязи развития индустрии информации, компьютеризации, информационных технологий с процессом информатизации, но и определение уровня и степени влияния процесса информатизации на сферу управления и интеллектуальную деятельность человека.
С течением времени роль информации в жизни человека становится все существеннее. В первой половине 21-ого века роль информации в жизни человека является определяющей. Специалист будет тем выше востребован на рынке труда, чем больше навыков и знаний он имеет.
Сегодня происходит смена способов производства, мировоззрения людей, их образа жизни. Информационные технологии кардинальным образом меняют повседневную жизнь миллионов людей.
Информация стала одним из важнейших стратегических, управленческих ресурсов, наряду с ресурсами - человеческим, финансовым, материальным. В современных условиях право на информацию и доступ к ней имеют жизненную ценность для всех членов общества. Возрастающая роль информации в обществе явилась предметом научного осмысления. Были выдвинуты теории, объясняющие ее место и значение. Наиболее популярными являются теории постиндустриального и информационного общества.
Мир вступает в новую эру – информационную, в век электронной экономической деятельности, сетевых сообществ и организаций без границ.
В современных условиях коммерческий успех любого предприятия в большой степени зависит от оперативности и мобильности бизнеса, от своевременности и быстроты принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия между различными участниками бизнес-процессов. Сегодня предприятия в качестве среды для информационного обмена все чаще используют открытые каналы связи сетей общего доступа (Internet) и внутреннее информационное пространство предприятия (Intranet). Открытые каналы Internet/Intranet намного дешевле по сравнению с выделенными каналами. Однако сети общего пользования имеют существенный недостаток - открытость и доступность информационной среды. Компании не могут полностью контролировать передачу и приём данных по открытым каналам и при этом гарантировать их целостность и конфиденциальность. Злоумышленникам не составляет особого труда перехватить деловую информацию с целью ознакомления, искажения, кражи и т. п.
Особую актуальность приобретают вопросы защиты персональных данных. Отметим стремительный рост числа инцидентов кражи персональных данных в России. Так, в 2006 году было зарегистрировано 157 случаев утечки конфиденциальной информации, а в 2015 году это число достигло 723. По данным исследований компании Zecurion, за последние два года средний ущерб от утечек составил 25 миллионов долларов в год[17].
Кроме того, проблема защиты персональных данных приобрела особую значимость с вступлением в силу Федерального закона РФ №152-ФЗ «О персональных данных». Информационные системы сбора, хранения, обработки иди передачи данных должны строго соответствовать требованиям, обозначенным в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, совместном Приказе ФСТЭК России, ФСБ России, Мининформсвязи России 2008 г. № 55/86/20, а также в методических документах ФСТЭК России и ФСБ России.
Глава 2. Рекомендации по снижению уровня угроз информационной безопасности
2.1 Организационные меры защиты от угроз информационной безопасности
Организационно-административной основой информационной безопасности предприятия является политика безопасности.
Политика безопасности предприятия — это общие направления действий и принятия решений, обеспечивающих достижение целей безопасности предприятия, укрепление дисциплины труда и повышение его производительности[18].
Целями политики безопасности на предприятии являются:
- защита законных прав и интересов предприятия и персонала;
- укрепление интеллектуального потенциала предприятия;
- сохранение и увеличение собственности;
- повышение конкурентоспособности произведенной продукции;
- максимально полное обеспечение руководства предприятия достоверной оперативной информацией о деятельности структурных подразделений (дочерних предприятий, филиалов);
- осуществление проверок отдельных видов деятельности предприятия и т. п.
Руководители подразделений компании должны обеспечивать регулярный контроль за соблюдением положений политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки руководству.
Отметим важность соблюдения требований политики безопасности всеми сотрудниками организации – и постоянными, и временными. В договорах с третьими лицами, получающими доступ к информации, должна быть оговорена обязанность третьего лица по соблюдению требований политик безопасности.
Перейдем к практическим рекомендациям по реализации организационных мер защиты информации:
- Определение персональной ответственности всех сотрудников организации в отношении всех информационных активов компании, активов, находящихся под контролем компании, а также активов, используемых для получения доступа к инфраструктуре компании. В качестве таких информационных массивов выступают деловая информация, вычислительные ресурсы, голосовая и факсимильная связь, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала.
- Четкое следование должностным инструкциям. Особое внимание стоит уделить проверки факта работы сотрудников только на компьютерах, разрешенных к использованию в компании.
- Обеспечение шифрования данных. Данный процесс необходим, так как по сети передаются и на рабочих станциях обрабатываются данные, составляющие коммерческую тайну.
- Организация систематического пересмотра руководством (или специалистами службы безопасности) права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
- Контроль за обеспечением санкционированного доступа, который должен осуществляться строго с использованием уникального имени пользователя и пароля.
- Обязательное использование сотрудниками режима «Экранной заставки» с парольной защитой.
- Предоставление сотрудникам удаленного доступа к сетевым ресурсам должно осуществляться в соответствии с правами в корпоративной информационной системе.
- Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.
- Запрет самостоятельного изменения сотрудниками конфигурации аппаратного и программного обеспечения.
- Обязательное обеспечение сотрудниками сохранности компьютеров, содержащих информацию, составляющую коммерческую тайну компании.
- Проверка компонентов оборудования, в состав которых входят носители данных (включая жесткие диски), перед утилизацией. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.
- Проверка носителей информации на предмет отсутствия на нем данных перед его передачей партнерам по бизнесу или контрагентам.
- Использование программного обеспечения исключительно в производственных целях.
- Категорический запрет на установку нелицензионного программного обеспечения или программного обеспечения, не имеющего отношения к производственной деятельности.
- Содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.
- Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.
- Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.
- На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации: