Методы, средства и организация системы защиты информации в экономических информационных системах

Содержание.

Введение 
 Глава 1. Организационно-экономическая сущность задачи 

 

 Глава 2. Основные виды угроз  безопасности экономических  информационных систем. 

 

     2.1. Информационные угрозы.  

     2.2 Воздействие вредоносных  программ

Глава 3. Методы, средства и организация системы защиты информации в экономических информационных системах 

       3.1. Правовые основы  обеспечения информационной безопасности.

       3.2. Основные методы  и средства защиты  информации. 

Глава 4. Шифрование как  основной метод защиты информации. Описание входной и выходной информации 

Заключение

Список  литературы

 

Введение

 

     Актуальность  проблемы защиты информации связана  с ростом возможностей вычислительной техники. Развитие средств, методов  и форм автоматизации процессов  обработки информации, массовость применения ПЭBM резко повышают уязвимость информации.      

Потребность в обеспечении безопасности связана  с тем, что существует множество  субъектов и структур, весьма заинтересованных в чужой информации и готовых  заплатить за это высокую цену. А ведь существуют и, соответственно, приобретаются устройства для несанкционированного доступа к информации и по другим каналам: проникновение в информационные системы, перехват и дешифровка сообщений  и т.д.     

Целью данной работы является обоснование  необходимости защиты информации в  экономических информационных системах, подробный анализ организации системы  защиты информации в экономических  информационных системах и ее эффективности.     

Для достижения поставленной цели необходимо решить следующие задачи: изучить  теоретические  аспекты защиты информации в экономических информационных системах, исследовать определение понятия угрозы информационной безопасности в экономических информационных системах, рассмотреть основные способы реализации угроз, привести вариант  их классификации, проанализировать современные  методы и средства защиты информации в экономических информационных системах и оценить их эффективность, а также рассмотреть основные принципы и этапы создания системы защиты информации экономических систем.    
   
  
  
  

Глава 1. Организационно-экономическая сущность задачи      

Проблема  защиты информации представляет собой  совокупность тесно связанных проблем  в областях права, организации управления, разработки технических средств, программирования и математики.     

Любой системе управления экономическим  объектом соответствует экономическая информационная система (ЭИС) или совокупность внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управляющих решений.¹     

Согласно  ФЗ «Об информации, информатизации и защите информации», принятому  в феврале 1995 г., информационная система  – это организационно упорядоченная  совокупность документов (массивов документов) и информационных технологий, в том  числе с использованием средств  вычислительной техники и связи, реализующих информационные процессы (процессы сбора, обработки, накопления, хранения, поиска и распространения  информации).²      

В связи с большим количеством  функциональных особенностей для ЭИС  может быть выделено множество различных  классификационных признаков. Так, в соответствии с уровнем применения и административным делением можно  различать ЭИС предприятия, района, области и государства.      

В экономике с учетом сферы применения выделяются:     

• банковские информационные системы;      

• информационные системы фондового  рынка;     

• страховые информационные системы;      

• налоговые информационные системы;      

• информационные системы промышленных предприятий и организаций (особое место по значимости и распространенности в них занимают бухгалтерские  ИС);     

• статистические информационные системы  и др.     

ЭИС накапливает и перерабатывает поступающую  учетную информацию и имеющиеся  нормативы, и планы в аналитическую  информацию - основу для прогнозирования  развития экономической системы, корректировки  ее целей и создания планов для  нового цикла воспроизводства.       

 К обработке информации в  ЭИС предъявляются следующие  требования:     

1. полнота и достаточность информации для реализации функций управления     

2. своевременность предоставления информации     

3.соответствие уровню управления     

4.обеспечение достоверности информации     

5.экономичность обработки информации - затраты на обработку не должны превышать получаемый эффект      

6.адаптивность к изменяющимся информационный потребностям пользователей.     

Само  понятие информационной безопасности имеет смысл только для тех  систем, в которых эта проблема существовала и до их автоматизации. До применения компьютерных технологий в любой организации, для которой  безопасность информации имела определенное значение, был установлен определенный порядок работы с информацией (например, система работы с секретными документами  Министерства Обороны), регламентирующий информационные потоки внутри организации  и обмен информацией с внешним  миром. Этот порядок включал схему  информационных потоков внутри организации, а также процесс управления потоками информации в соответствии с набором правил.     

Решение этой задачи осуществляется последовательным осуществлением следующих действий:

1. Определение механизма, выражающего заданную схему информационных потоков и правил управления ими.
2. Построение модели безопасности, отражающей заданный порядок обработки информации, и формальное доказательство ее безопасности.
3. Реализация системы обработки информации в соответствии с предложенной моделью.

 

       В ходе  осуществления данной последовательности действий разработчики сталкиваются с такими проблемами, как неполнота информации, сложность применения на практике разработанных концепций, необходимость добавления и удаления компонентов в систему, что может привести к расхождениям с установленной моделью безопасности и др.     

Однако, совершенно очевидно, что контроль доступа к объектам

системы имеет ключевое значение для  обеспечения защиты информации и  безопасности всей системы в целом.      

Поэтому в процессе обеспечения информационной безопасности любой экономической  системы крайне важен процесс  выявления угроз безопасности, возможных  каналов утечки информации и путей несанкционированного доступа к защищаемым данным, а также разработка действенных и экономически-эффективных мер предупреждения и устранения влияния данных факторов.   
  
  
  
  

 

 

 

Глава 2. Основные виды угроз  безопасности экономических  информационных систем. 

 

     2.1. Информационные угрозы.

 

     Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.     

Если  ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации. Если информация изменяется или уничтожается с потерей ее ценности, то реализуетсяугроза целостности информации. Если информация вовремя не поступает легальному пользователю, ценность ее уменьшается и со временем полностью обесценивается, т.е. реализуется угроза оперативности использования или доступности информации.     

Итак, реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации.     

Информационные  угрозы могут быть обусловлены:      

- естественными факторами (стихийные  бедствия – пожар, наводнение,     

ураган, молния и другие причины);     

- человеческими факторами. Они,  в свою очередь, подразделяются      

на:     

– угрозы, носящие случайный, неумышленный характер, т.е. угрозы,     

связанные с ошибками процесса подготовки, обработки  и передачи информации; с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны, для воссоединения  с семьей и т.п.); с ошибками процесса проектирования, разработки и изготовления систем и их компонент; с ошибками в работе     

аппаратуры  из-за некачественного ее изготовления; с ошибками процесса подготовки и  обработки информации и т.д.     

– угрозы, обусловленные умышленными, преднамеренными действиями людей, т.е.  угрозы, связанные с передачей, искажением и уничтожением научных  открытий, изобретений секретов производства, новых технологий по корыстным и  другим антиобщественным мотивам; с  подслушиванием и передачей служебных  и других научно-технических и  коммерческих разговоров; с целенаправленной "утечкой умов", знаний информации (например, в связи с получением другого гражданства по корыстным  мотивам) и т.д.     

Умышленные  угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.     

Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.      

Активные  угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на     

аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение  сведений в базах данных либо в  системной информации и т.д. Источниками  активных угроз могут быть непосредственные действия злоумышленников, программные  вирусы и т.п.     

Умышленные  угрозы также подразделяются на внутренние  (возникающие внутри управляемой организации) и внешние.     

Внутренние  угрозы чаще всего определяются социальной напряженностью и тяжелым моральным  климатом.     

Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например,      

стихийными  бедствиями).     

К основным угрозам безопасности относят:      

- раскрытие конфиденциальной информации;      

- компрометация информации;     

- несанкционированное использование  информационных ресурсов;     

- ошибочное использование ресурсов; несанкционированный обмен      

информацией;     

- отказ от информации;     

- отказ от обслуживания.     

Средствами  реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п.     

Реализация  угроз является следствием одного из следующих действий и событий:      

-разглашение  конфиденциальной информации,      

-утечка  конфиденциальной информации       

-несанкционированный  доступ к защищаемой информации.      

Разглашение информации ее владельцем или обладателем – есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.     

Утечка  конфиденциальной информации – это бесконтрольный выходконфиденциальной  информации за пределы ИС или круга  лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:     

- разглашения конфиденциальной информации;      

- ухода информации по различным,  главным образом, техническим  каналам;

 

 

     -несанкционированного доступа к  конфиденциальной информации различными  способами.     

Под каналом утечки информации понимается физический путь от источника конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное  получение охраняемых сведений. Для  возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также  соответствующие средства восприятия и фиксации информации на стороне  злоумышленника.     

Применительно к практике с учетом физической природы  образования каналы утечки информации можно разделить на следующие  группы: