Компьютерные преступления и методы защиты информации

НЕГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ  УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО  ОБРАЗОВАНИЯ ВОСТОЧНАЯ ЭКОНОМИКО-ЮРИДИЧЕСКАЯ  ГУМАНИТАРНАЯ  АКАДЕМИЯ (АКАДЕМИЯ ВЭГУ)

 

 

Специальность: Физическая культура для лиц с отклонениями в состоянии здоровья (адаптивная физическая культура)

Специализация: Физическая реабилитация

 

 

Шаронов Максим Юрьевич

КУРСОВАЯ РАБОТА

Компьютерные преступления и методы защиты информации

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Уфа 2013 
СОДЕРЖАНИЕ

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Актуальность

Сегодня пришло понимание необходимости автоматизации хранения и обработки неструктурированной информации, так как ее объемы такие, что обрабатывать ее вручную уже не представляется возможным. Однако подходы и концепции построения систем, предназначенных для автоматизации документооборота, имеют некоторые различия.  Резервы повышения общей эффективности предприятия лежат в уменьшении стоимости хранения информации [12, c. 35].

За счет сокращения площадей, на которых хранится информация; уничтожения  малоэффективных бумажных документов; более компактного хранения бумажных документов; переноса бумажных архивов в более дешевые по стоимости хранения, удаленные места, например за город; увеличения скорости поиска и доступа к необходимым документам.

Кроме того, немаловажно  отметить еще и фактор повышения безопасности при работе с документами - организация глубокой системы защиты документов, в зависимости от операций и пользователей, позволяет защитить документы от несанкционированного доступа. Кроме того, запись всех операций с документов позволяет восстановить всю историю действий с ними [3, c. 45].

Сегодняшний  бизнес   не   может   существовать   без   информационных технологий. Известно,  что  около  70%  мирового  совокупного  национального продукта  зависят  тем  или  иным  образом  от  информации,   хранящейся   в информационных  системах.  Повсеместное  внедрение  компьютеров  создало  не только известные удобства, но и  проблемы,  наиболее  серьезной  из  которых является проблема информационной безопасности [12, c. 25].

   Наряду с элементами управления для компьютеров и компьютерных  сетей стандарт   уделяет   большое   внимание   вопросам    разработки    политики безопасности, работе с персоналом (прием на работу, обучение,  увольнение  с работы), обеспечению непрерывности производственного  процесса,  юридическим требованиям.      Несомненно, данная тема курсовой работы очень актуальна в  современных условиях.

Цель исследования – изучить преступления в сфере компьютерной безопасности и способы защиты информации.

Задачи:

1. Изучить  понятие информации и информационной защиты.

2. Рассмотреть понятие и необходимость информационной безопасности.

3. Проанализировать особенности информационных ресурсов компьютерной безопасности.

4. Охарактеризовать сущность преступлений в сфере компьютерной безопасности и способы защиты информации.

5. Рассмотреть понятие преступлений в сфере компьютерной информации.

6. Предложить способы защиты от компьютерных преступлений.

Объект исследования – компьютерная безопасность информации.

Предмет исследования – преступления в сфере компьютерной безопасности и способы защиты информации.

Структура работы: работа состоит из введения, двух глав с подглавами, заключения и списка использованной литературы.

 

 

 

 

 

 

 

 

1. Понятие информации  и информационной защиты

1. Понятие и необходимость информационной безопасности

 

Информация – это  актив, который, подобно другим активам  организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса [6, c. 79].

Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.

Информационная безопасность – механизм защиты, обеспечивающий:

• конфиденциальность: доступ к информации только авторизованных пользователей;
• целостность: достоверность и полноту информации и методов ее обработки;
• доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации [3, c. 45].

Информация, поддерживающие ее процессы, информационные системы  и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и  доступность информации могут существенно  способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

Организации, их информационные системы и сети все чаще сталкиваются с различными угрозами безопасности, такими как компьютерное мошенничество, шпионаж, вредительство, вандализм, пожары или наводнения. Такие источники ущерба, как компьютерные вирусы, компьютерный взлом и атаки типа отказа в обслуживании, становятся более распространенными, более агрессивными и все более изощренными [3, c. 15].

Зависимость от информационных систем и услуг означает, что организации становятся все более уязвимыми по отношению к угрозам безопасности. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов затрудняет управление доступом к информации. Тенденция к использованию распределенной обработки данных ослабляет эффективность централизованного контроля.

При проектировании многих информационных систем вопросы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен сопровождаться надлежащими организационными мерами. Выбор необходимых мероприятий по управлению информационной безопасностью требует тщательного планирования и внимания к деталям.

Управление информационной безопасностью нуждается, как минимум, в участии всех сотрудников организации. Также может потребоваться участие  поставщиков, клиентов или акционеров. Кроме того, могут потребоваться  консультации специалистов сторонних организаций. Мероприятия по управлению в области информационной безопасности обойдутся значительно дешевле и окажутся более эффективными, если будут включены в спецификацию требований на стадии проектирования системы.

Обеспечение информационной безопасности является сравнительно новой областью профессиональной деятельности специалистов. Основными целями такой деятельности являются:

- обеспечение защищенности  от внешних и внутренних угроз  в сфере формирования, распространения  и использования информационных ресурсов;

- предотвращение нарушений  прав граждан и организаций  на сохранение конфиденциальности  и секретности информации;

- обеспечение условий,  препятствующих преднамеренному  искажению или сокрытию информации  при отсутствии для этого законных оснований.

Заказчиками специалистов в данной области являются:

- федеральные органы  государственной власти и управления  РФ;

- органы государственной  власти субъектов РФ;

- государственные учреждения, организации и предприятия;

- оборонная промышленность;

- органы местного самоуправления;

- учреждения, организации  и предприятия негосударственной  формы

собственности [5, c. 98].

Появление в свободной, хотя и нелегальной продаже базы данных клиентов компании сотовой связи  МТС вновь и вновь вынуждает  обращаться к проблеме компьютерной безопасности. Похоже, эта тема неисчерпаема. Ее актуальность тем больше, чем выше уровень компьютеризации коммерческих фирм и некоммерческих организаций. Высокие технологии, играя революционную роль в развитии бизнеса и практически всех других сторон современного общества, делают их пользователей весьма уязвимыми с точки зрения информационной, а в конечном счете экономической безопасности.

Это проблема не только России, но большинства стран мира, в первую очередь западных, хотя там и действуют законы, ограничивающие доступ к персональной информации и предъявляющие жесткие требования к ее хранению. На рынках предлагают различные системы защиты компьютерных сетей. Но как защититься от собственной “пятой колонны” - недобросовестных, нелояльных, или просто безалаберных сотрудников, имеющих доступ к закрытой информации? Скандальная утечка клиентской базы данных МТС не могла, видимо, произойти без сговора, либо преступной халатности служащих компании [10, c. 45].

Такое впечатление, что  многие, если не большинство предпринимателей просто не осознают всей серьезности проблемы. Даже в странах развитой рыночной экономики, согласно некоторым исследованиям, 80% компаний не имеют продуманной, спланированной системы защиты хранилищ, операционных баз данных. Что же говорить о нас, привыкших полагаться на знаменитое “авось”.

Поэтому не бесполезно обратиться к теме опасностей, которыми грозят утечки конфиденциальной информации, поговорить о мерах по снижению таких  рисков. В этом нам поможет публикация в “Legal Times” (October 21, 2002) - издании, посвященном правовым вопросам (Марк М. Мартин, Эван Вагнер, “Уязвимость и защита информации”). Авторы перечисляют наиболее типичные виды и способы информационных угроз. Какие именно?

- Рассекречивание и  кража коммерческой тайны. Тут все более или менее понятно. Классический, уходящий в древнюю историю, экономический шпионаж. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах [5, c. 61].

- Распространение компрометирующих  материалов. Здесь авторы имеют  в виду умышленное или случайное  использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию фирмы. К примеру, название компании отражено в домене корреспондента, допускающего в своих письмах диффамацию, оскорбления, короче все, что может скомпрометировать организацию.

- Посягательство на  интеллектуальную собственность.  Важно не забывать, что любой  интеллектуальный продукт, производимый  в организации, принадлежит организации  и не может использоваться  сотрудниками (в том числе генераторами  и авторами интеллектуальных ценностей) иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих [10, c. 35].

- Распространение (часто  неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов. Например, о новых вакансиях в связи с расширением бизнеса, о командировках и переговорах.

- Посещения сайтов  конкурентов. Сейчас все больше  компаний используют на своих  открытых сайтах программы (в частности, предназначенные для CRM), которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта.

Понятно, что если ваш  заход на сайт конкурента в подробностях известен его оператору, то последнему не трудно сделать вывод, что именно вас интересует. Это не призыв отказаться от важнейшего канала конкурентной информации. Сайты конкурентов были и остаются ценным источником для анализа и прогноза. Но, посещая сайты, надо помнить, что вы оставляете следы и за вами тоже наблюдают [5 ,c. 61].

- Злоупотребление офисными  коммуникациями в личных целях 
(прослушивание, просмотр музыкального и прочего контента, не имеющего отношения к работе, загрузка офисного компьютера) не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег.

- И, наконец, внешние  угрозы - несанкционированные вторжения  и т.п. 
Это тема отдельного серьезного разговора.

Как защититься от внутренних угроз? 100% гарантии от ущерба, который  могут нанести собственные работники, просто не существует. Это человеческий фактор, который не поддается полному  и безусловному контролю. Вместе с  тем, упомянутые выше авторы дают полезный совет - разрабатывать и внедрять внутри компании четко сформулированную коммуникационную (или информационную) политику. Такая политика должна провести четкую границу между дозволенным и недозволенным в использовании офисных коммуникаций [11, c. 25].