Автор: Пользователь скрыл имя, 09 Января 2013 в 20:11, курс лекций
Главной целью обеспечения экономической безопасности предприятия (ЭБП) является достижение максимальной стабильности функционирования, а также создание основы и перспектив роста для выполнения целей бизнеса, вне зависимости от объективных и субъективных угрожающих факторов (негативных воздействий, факторов риска). Кадровая безопасность является одной из составляющих экономической безопасности (наряду с другими – финансовой, силовой, информационной, технико-технологической, правовой, экологической). Ее иногда называют еще «кадровой и интеллектуальной» составляющей ЭБП.
ВВЕДЕНИЕ
4
Глава 1. Экономическая безопасность страны
§ 1. Содержание и структура экономической безопасности
§ 2. Внешние и внутренние угрозы экономической безопасности
§ 3. Механизм обеспечения экономической безопасности
5
10
16
Глава 2. Стратегия безопасности предприятия
§ 1. Риски, опасности, угрозы деятельности предприятия
§ 2. Источники и факторы риска производственного предприятия
§ 3. Методы управления хозяйственным риском
§ 4. Организационное обеспечение социально-экономической безопасности бизнеса
24
30
39
46
Глава 3. Основы политики информационной безопасности
§ 1. Угрозы безопасности автоматизированных систем
§ 2. Создание политики информационной безопасности
§ 3. Практические инструкции по защите от внутренних угроз
57
73
84
Глава 4. Проблемы обеспечения кадровой безопасности
§ 1. Понятие кадровой безопасности
§ 2. Меры предотвращения отрицательных влияний групп риска для безопасности предприятия
§ 3. Кадровая политика и работа с кадрами
88
91
100
Глава 5. Альянсы
§ 1. Сущность альянсов
§ 2. Этапы становления альянсов
129
137
Глава 6. Виды стратегий в бизнесе
143
ЗАКЛЮЧЕНИЕ
163
СПИСОК ЛИТЕРАТУРЫ
166
Классификация угроз безопасности
Угрозой называется потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Угрозой интересам субъектов информационных отношений будем называть потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты автоматизированных систем (АС) может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.
В силу особенностей современных АС, перечисленных выше, существует значительное число различных видов угроз безопасности субъектов информационных отношений.
Угрозами безопасности информационных и телекоммуникационных средств и систем могут являться:
Нарушением безопасности будем называть реализацию угрозы безопасности. Следует иметь в виду, что научно-технический прогресс может привести к появлению принципиально новых видов угроз и что изощренный ум злоумышленника способен придумать новые способы преодоления систем безопасности, не санкционированный доступ (НСД) к данным и дезорганизации работы АС.
Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные) (рис. 7.).
Естественные угрозы – это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.
Искусственные угрозы – это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС – ее аппаратура, программы, персонал). Последствия, к которым приводит реализация угроз:
Предупреждение приведенных
последствий в
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приведем к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.
Естественные угрозы. Работа средств вычислительной техники сопровождается электромагнитными излучениями и наводками на соединительные проводные линии, по сети электропитания и заземления аппаратуры, возникающими вследствие электромагнитных воздействий в ближней зоне излучения, в которую могут попадать также провода вспомогательной и посторонней аппаратуры. Электромагнитные излучения, даже если они отвечают допустимым техническим нормам, не являются безопасными с точки зрения утечки секретной информации и несанкционированного доступа к ней.
Все это обусловило угрозы безопасности информации за счет побочного электромагнитного излучения и наводок (ПЭМИН).
В некоторых случаях информацию, обрабатываемую средствами ЭВТ, можно восстановить путем анализа электромагнитных излучений и наводок. Для этого необходимы их прием и декодирование. Исследования показали, что восстановление информации от некоторых средств ЭВТ возможно с помощью общедоступных радиоэлектронных средств. В частности, при восстановлении информации с дисплеев можно использовать обычный черно-белый телевизор, в котором сделаны незначительные усовершенствования. Если дисплей является элементом вычислительной системы, то он может оказаться самым слабым ее звеном, которое сведет на нет все меры по увеличению безопасности излучений, принятые во всех остальных частях системы.
К естественным угрозам относятся также стихийные бедствия: пожар, наводнение, землетрясение, ураганы, удары молнии, обвалы и т.д.
Основные случайные (непреднамеренные) искусственные угрозы. Исследования опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорит о том, что информация в процессе ввода, хранения, обработки, вывода и передачи подвергается различным случайным (непреднамеренным) воздействиям. В результате таких воздействий на аппаратном уровне происходят физические изменения уровней сигналов в цифровых кодах, несущих информацию, что приводит к изменению значений в разрядах 1 на 0 или 0 на 1, следствием чего является изменение значения кода на другое.
Если применяемые для этой цели средства функционального контроля способны обнаружить эти изменения (например, контроль по модулю 2 легко обнаруживает однократную ошибку), производится выбраковка данного кода, а устройство, блок, модуль или микросхема, участвующие в обработке, объявляются неисправными. Если функциональный контроль отсутствует или не способен обнаружить неисправность на данном этапе обработки, процесс обработки продолжается по ложному пути, т. е. происходит модификация информации. В процессе дальнейшей обработки в зависимости от содержания и назначения ложной команды возможны либо пересылка информации по ложному адресу, либо передача ложной информации адресату, либо стирание или запись другой информации в ОЗУ или ДЗУ, т. е. возникают нежелательные события: разрушение (утрата), модификация и утечка информации.
На программном уровне в результате случайных воздействий может произойти изменение алгоритма обработки информации на непредусмотренный, характер которого тоже может быть различным: в лучшем случае — остановка вычислительного процесса, а в худшем — его модификация. Если средства функционального контроля ее не обнаруживают, последствия модификации алгоритма или данных могут пройти незамеченными или привести также к разрушению информации, а при изменении адресов подключенных устройства — к утечке информации. При программных ошибках могут подключаться программы ввода-вывода и передачи их на запрещенные устройства.
Причинами случайных воздействий при эксплуатации автоматизированной системы могут быть (рис. 8):
При разработке сложных автоматизированных систем увеличивается число схемных, системотехнических, структурных, алгоритмических и программных ошибок. На их количество в процессе проектирования оказывает большое влияние квалификация разработчиков, условия их работы, наличие опыта и др.
На этапах изготовления и испытаний на качество входящей в АСОД аппаратуры влияют полнота и качество документации, по которой ее изготавливают, технологическая дисциплина и другие факторы.
К ошибкам человека как
звена системы следует
Ошибки человека могут подразделяться на:
Интенсивность ошибок человека может колебаться в широких пределах: от 1—2% до 15—40% и выше от общего числа операций, выполняемых при решении задачи.
К угрозам случайного
характера следует также
Вероятность этих событий связана, прежде всего, с правильным выбором места размещения АСОД, включая географическое положение, и организацией противопожарных мероприятий.
Основные непреднамеренные искусственные угрозы АС приводят к:
Основные преднамеренные искусственные угрозы. Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес, с самоутверждением своих способностей и т. д. Потенциальные угрозы с этой стороны будем рассматривать только в техническом аспекте.