Защита информации в экономических системах

Введение

 

Актуальность проблемы защиты информации связана с ростом возможностей вычислительной техники. Развитие средств, методов и форм автоматизации процессов обработки  информации, массовость применения ПЭBM резко повышают уязвимость информации.

Потребность в обеспечении безопасности связана с тем, что существует множество субъектов и структур, весьма заинтересованных в чужой информации и готовых заплатить за это высокую цену. А ведь существуют и, соответственно, приобретаются устройства для несанкционированного доступа к информации и по другим каналам: проникновение в информационные системы, перехват и дешифровка сообщений и т.д.

Целью данной работы является обоснование необходимости защиты информации в экономических информационных системах, подробный анализ организации системы защиты информации в экономических информационных системах и ее эффективности.

Для достижения поставленной цели необходимо решить следующие задачи: изучить теоретические  аспекты  защиты информации в экономических  информационных системах, исследовать определение понятия угрозы информационной безопасности в экономических информационных системах, рассмотреть основные способы реализации угроз, привести вариант их классификации, проанализировать современные методы и средства защиты информации в экономических информационных системах и оценить их эффективность, а также рассмотреть основные принципы и этапы создания системы защиты информации экономических систем.

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 1. Организационно-экономическая сущность задачи

 

Проблема защиты информации представляет собой совокупность тесно связанных проблем в областях права, организации управления, разработки технических средств, программирования и математики.

Любой системе управления экономическим объектом соответствует экономическая информационная система (ЭИС) или совокупность внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управляющих решений.¹

Согласно ФЗ «Об информации, информатизации и защите информации», принятому в феврале 1995 г., информационная система – это организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы (процессы сбора, обработки, накопления, хранения, поиска и распространения информации).²

В связи с большим  количеством функциональных особенностей для ЭИС может быть выделено множество  различных классификационных признаков. Так, в соответствии с уровнем применения и административным делением можно различать ЭИС предприятия, района, области и государства.

В экономике с учетом сферы применения выделяются:

• банковские информационные системы;

• информационные системы фондового рынка;

• страховые информационные системы;

• налоговые информационные системы;

• информационные системы  промышленных предприятий и организаций (особое место по значимости и распространенности в них занимают бухгалтерские  ИС);

• статистические информационные системы и др.

ЭИС накапливает и  перерабатывает поступающую учетную  информацию и имеющиеся нормативы, и планы в аналитическую информацию - основу для прогнозирования развития экономической системы, корректировки  ее целей и создания планов для нового цикла воспроизводства.

 К обработке информации в ЭИС предъявляются следующие требования:

1. полнота и достаточность информации для реализации функций управления

2. своевременность предоставления информации

3.соответствие уровню управления

4.обеспечение достоверности информации

5.экономичность обработки информации - затраты на обработку не должны превышать получаемый эффект

6.адаптивность к изменяющимся информационный потребностям пользователей.

Само понятие информационной безопасности имеет смысл только для тех систем, в которых эта проблема существовала и до их автоматизации. До применения компьютерных технологий в любой организации, для которой безопасность информации имела определенное значение, был установлен определенный порядок работы с информацией (например, система работы с секретными документами Министерства Обороны), регламентирующий информационные потоки внутри организации и обмен информацией с внешним миром. Этот порядок включал схему информационных потоков внутри организации, а также процесс управления потоками информации в соответствии с набором правил.

Решение этой задачи осуществляется последовательным осуществлением следующих  действий:

1. Определение механизма, выражающего заданную схему информационных потоков и правил управления ими.
2. Построение модели безопасности, отражающей заданный порядок обработки информации, и формальное доказательство ее безопасности.
3. Реализация системы обработки информации в соответствии с предложенной моделью.

 В ходе осуществления данной последовательности действий разработчики сталкиваются с такими проблемами, как неполнота информации, сложность применения на практике разработанных концепций, необходимость добавления и удаления компонентов в систему, что может привести к расхождениям с установленной моделью безопасности и др.

Однако, совершенно очевидно, что контроль доступа к объектам

системы имеет ключевое значение для обеспечения защиты информации и безопасности всей системы в целом.

Поэтому в процессе обеспечения  информационной безопасности любой экономической системы крайне важен процесс выявления угроз безопасности, возможных каналов утечки информации и путей несанкционированного доступа к защищаемым данным, а также разработка действенных и экономически-эффективных мер предупреждения и устранения влияния данных факторов.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 2. Основные виды угроз безопасности экономических  информационных систем.

 

2.1. Информационные  угрозы.

Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Если ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации. Если информация изменяется или уничтожается с потерей ее ценности, то реализуется угроза целостности информации. Если информация вовремя не поступает легальному пользователю, ценность ее уменьшается и со временем полностью обесценивается, т.е. реализуется угроза оперативности использования или доступности информации.

Итак, реализация угроз  информационной безопасности заключается  в нарушении конфиденциальности, целостности и доступности информации.

Информационные угрозы могут быть обусловлены:

- естественными факторами  (стихийные бедствия – пожар,  наводнение,

ураган, молния и другие причины);

- человеческими факторами.  Они, в свою очередь, подразделяются

на:

– угрозы, носящие случайный, неумышленный характер, т.е. угрозы,

связанные с ошибками процесса подготовки, обработки и  передачи информации; с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны, для воссоединения с семьей и т.п.); с ошибками процесса проектирования, разработки и изготовления систем и их компонент; с ошибками в работе

аппаратуры из-за некачественного  ее изготовления; с ошибками процесса подготовки и обработки информации и т.д.

– угрозы, обусловленные  умышленными, преднамеренными действиями людей, т.е.  угрозы, связанные с  передачей, искажением и уничтожением научных открытий, изобретений секретов производства, новых технологий по корыстным и другим антиобщественным мотивам; с подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной "утечкой умов", знаний информации (например, в связи с получением другого гражданства по корыстным мотивам) и т.д.

Умышленные угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.

Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

Активные угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на

аппаратные, программные  и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий  связи, вывод из строя ПЭВМ или  ее операционной системы, искажение  сведений в базах данных либо в  системной информации и т.д. Источниками активных угроз могут быть непосредственные действия злоумышленников, программные вирусы и т.п.

Умышленные угрозы также  подразделяются на внутренние  (возникающие внутри управляемой организации) и внешние.

Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом.

Внешние угрозы могут  определяться злонамеренными действиями конкурентов, экономическими условиями  и другими причинами (например,

стихийными бедствиями).

К основным угрозам безопасности относят:

- раскрытие конфиденциальной  информации;

- компрометация информации;

- несанкционированное  использование информационных ресурсов;

- ошибочное использование  ресурсов; несанкционированный обмен

информацией;

- отказ от информации;

- отказ от обслуживания.

Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п.

Реализация угроз является следствием одного из следующих действий и событий:

-разглашение конфиденциальной информации,

-утечка конфиденциальной  информации 

-несанкционированный  доступ к защищаемой информации.

Разглашение информации ее владельцем или обладателем – есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы ИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

- разглашения конфиденциальной  информации;

- ухода информации  по различным, главным образом,  техническим каналам;

- несанкционированного доступа к конфиденциальной информации различными способами.

Под каналом утечки информации понимается физический путь от источника  конфиденциальной информации к злоумышленнику, по которому возможна утечка или несанкционированное  получение охраняемых сведений. Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника.

Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы:

- визуально-оптические;

- акустические (включая  и акустико-преобразовательные);

- электромагнитные (включая  магнитные и электрические);

-материально-вещественные (бумага, фото, магнитные носители, производственные  отходы различного вида – твердые,  жидкие, газообразные).

Причины утечки связаны, как правило, с несовершенством  норм по сохранению информации, а также  нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.

К факторам утечки могут, например, относиться:

- недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения;

- использование неаттестованных  технических средств обработки