Основа стратегической безопасности

Автор: Пользователь скрыл имя, 09 Января 2013 в 20:11, курс лекций

Краткое описание

Главной целью обеспечения экономической безопасности предприятия (ЭБП) является достижение максимальной стабильности функционирования, а также создание основы и перспектив роста для выполнения целей бизнеса, вне зависимости от объективных и субъективных угрожающих факторов (негативных воздействий, факторов риска). Кадровая безопасность является одной из составляющих экономической безопасности (наряду с другими – финансовой, силовой, информационной, технико-технологической, правовой, экологической). Ее иногда называют еще «кадровой и интеллектуальной» составляющей ЭБП.

Оглавление

ВВЕДЕНИЕ
4
Глава 1. Экономическая безопасность страны

§ 1. Содержание и структура экономической безопасности
§ 2. Внешние и внутренние угрозы экономической безопасности
§ 3. Механизм обеспечения экономической безопасности
5

10
16

Глава 2. Стратегия безопасности предприятия

§ 1. Риски, опасности, угрозы деятельности предприятия
§ 2. Источники и факторы риска производственного предприятия
§ 3. Методы управления хозяйственным риском
§ 4. Организационное обеспечение социально-экономической безопасности бизнеса
24

30
39

46
Глава 3. Основы политики информационной безопасности

§ 1. Угрозы безопасности автоматизированных систем
§ 2. Создание политики информационной безопасности
§ 3. Практические инструкции по защите от внутренних угроз
57
73
84
Глава 4. Проблемы обеспечения кадровой безопасности

§ 1. Понятие кадровой безопасности
§ 2. Меры предотвращения отрицательных влияний групп риска для безопасности предприятия
§ 3. Кадровая политика и работа с кадрами
88

91
100
Глава 5. Альянсы

§ 1. Сущность альянсов
§ 2. Этапы становления альянсов
129
137
Глава 6. Виды стратегий в бизнесе
143

ЗАКЛЮЧЕНИЕ
163

СПИСОК ЛИТЕРАТУРЫ

166

Файлы: 1 файл

Основы стратегической безопасности.doc

— 1.05 Мб (Скачать)

Классификация угроз безопасности

Угрозой называется потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

Угрозой интересам  субъектов информационных отношений будем называть потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты автоматизированных систем (АС) может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

В силу особенностей современных  АС, перечисленных выше, существует значительное число различных видов  угроз безопасности субъектов информационных отношений.

Угрозами безопасности информационных и телекоммуникационных средств и систем могут являться:

  • противоправные сбор и использование информации;
  • нарушения технологии обработки информации;
  • внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
  • разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
  • уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
  • воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
  • компрометация ключей и средств криптографической защиты информации;
  • утечка информации по техническим каналам;
  • внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
  • уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
  • перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
  • использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
  • несанкционированный доступ к информации, находящейся в банках и базах данных;
  • нарушение законных ограничений на распространение информации.

Нарушением  безопасности будем называть реализацию угрозы безопасности. Следует иметь в виду, что научно-технический прогресс может привести к появлению принципиально новых видов угроз и что изощренный ум злоумышленника способен придумать новые способы преодоления систем безопасности, не санкционированный доступ (НСД) к данным и дезорганизации работы АС.

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные) (рис. 7.).

Естественные  угрозы – это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Искусственные угрозы – это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

  • непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
  • преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников). Преднамеренные угрозы часто путем их систематического применения могут быть приведены в исполнение через случайные путем долговременной массированной атаки несанкционированными запросами или вирусами.

Источники угроз по отношению  к АС могут быть внешними или внутренними (компоненты самой АС – ее аппаратура, программы, персонал). Последствия, к которым приводит реализация угроз:

  • разрушение (утрата) информации;
  • модификация (изменение информации на ложную, которая корректна по форме и содержанию, но имеет другой смысл);
  • ознакомление с ней посторонних лиц.

Предупреждение приведенных  последствий в автоматизированной системе и есть основная цель создания системы безопасности информации.

Для создания средств  защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приведем к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.

Естественные  угрозы. Работа средств вычислительной техники сопровождается электромагнитными излучениями и наводками на соединительные проводные линии, по сети электропитания и заземления аппаратуры, возникающими вследствие электромагнитных воздействий в ближней зоне излучения, в которую могут попадать также провода вспомогательной и посторонней аппаратуры. Электромагнитные излучения, даже если они отвечают допустимым техническим нормам, не являются безопасными с точки зрения утечки секретной информации и несанкционированного доступа к ней.

Все это обусловило угрозы безопасности информации за счет побочного  электромагнитного излучения и наводок (ПЭМИН).

В некоторых случаях  информацию, обрабатываемую средствами ЭВТ, можно восстановить путем анализа  электромагнитных излучений и наводок. Для этого необходимы их прием и декодирование. Исследования показали, что восстановление информации от некоторых средств ЭВТ возможно с помощью общедоступных радиоэлектронных средств. В частности, при восстановлении информации с дисплеев можно использовать обычный черно-белый телевизор, в котором сделаны незначительные усовершенствования. Если дисплей является элементом вычислительной системы, то он может оказаться самым слабым ее звеном, которое сведет на нет все меры по увеличению безопасности излучений, принятые во всех остальных частях системы.

К естественным угрозам относятся  также стихийные бедствия: пожар, наводнение, землетрясение, ураганы, удары молнии, обвалы и т.д.

Основные случайные (непреднамеренные) искусственные угрозы. Исследования опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорит о том, что информация в процессе ввода, хранения, обработки, вывода и передачи подвергается различным случайным (непреднамеренным) воздействиям. В результате таких воздействий на аппаратном уровне происходят физические изменения уровней сигналов в цифровых кодах, несущих информацию, что приводит к изменению значений в разрядах 1 на 0 или 0 на 1, следствием чего является изменение значения кода на другое.

Если применяемые для  этой цели средства функционального контроля способны обнаружить эти изменения (например, контроль по модулю 2 легко обнаруживает однократную ошибку), производится выбраковка данного кода, а устройство, блок, модуль или микросхема, участвующие в обработке, объявляются неисправными. Если функциональный контроль отсутствует или не способен обнаружить неисправность на данном этапе обработки, процесс обработки продолжается по ложному пути, т. е. происходит модификация информации. В процессе дальнейшей обработки в зависимости от содержания и назначения ложной команды возможны либо пересылка информации по ложному адресу, либо передача ложной информации адресату, либо стирание или запись другой информации в ОЗУ или ДЗУ, т. е. возникают нежелательные события: разрушение (утрата), модификация и утечка информации.

На программном уровне в результате случайных воздействий  может произойти изменение алгоритма обработки информации на непредусмотренный, характер которого тоже может быть различным: в лучшем случае — остановка вычислительного процесса, а в худшем — его модификация. Если средства функционального контроля ее не обнаруживают, последствия модификации алгоритма или данных могут пройти незамеченными или привести также к разрушению информации, а при изменении адресов подключенных устройства — к утечке информации. При программных ошибках могут подключаться программы ввода-вывода и передачи их на запрещенные устройства.

Причинами случайных  воздействий при эксплуатации автоматизированной системы могут быть (рис. 8):

  • отказы и сбои аппаратуры;
  • помехи на линиях связи от воздействий внешней среды;
  • ошибки человека как звена системы;
  • схемные и системотехнические ошибки разработчиков;
  • структурные, алгоритмические и программные ошибки;
  • аварийные ситуации и другие воздействия.


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

При разработке сложных  автоматизированных систем увеличивается  число схемных, системотехнических, структурных, алгоритмических и  программных ошибок. На их количество в процессе проектирования оказывает большое влияние квалификация разработчиков, условия их работы, наличие опыта и др.

На этапах изготовления и испытаний на качество входящей в АСОД аппаратуры влияют полнота  и качество документации, по которой ее изготавливают, технологическая дисциплина и другие факторы.

К ошибкам человека как  звена системы следует относить:

  • ошибки человека как источника информации,
  • ошибки человека-оператора,
  • неправильные действия обслуживающего персонала
  • ошибки человека как звена, принимающего решения.

Ошибки человека могут подразделяться на:

  • логические (неправильно принятые решения),
  • сенсорные (неправильное восприятие оператором информации) и оперативные
  • моторные (неправильная реализация решения).

Интенсивность ошибок человека может колебаться в широких пределах: от 1—2% до 15—40% и выше от общего числа операций, выполняемых при решении задачи.

К угрозам случайного характера следует также отнести  аварийные ситуации, которые могут  возникнуть на объекте размещения автоматизированной системы. К аварийным ситуациям  относятся:

  • отказ функционирования АСОД в целом, например выход из строя 
    электропитания и освещения;
  • отказ системы жизнеобеспечения на объекте эксплуатации АСОД.

Вероятность этих событий связана, прежде всего, с правильным выбором места размещения АСОД, включая географическое положение, и организацией противопожарных мероприятий.

Основные непреднамеренные искусственные угрозы АС приводят к:

  • к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
  • неправомерному отключению оборудования или изменению режимов работы устройств и программ;
  • неумышленной порче носителей информации;
  • запуску технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
  • нелегальному внедрению и использованию неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
  • заражению компьютера вирусами;
  • неосторожным действия, приводящим к разглашению конфиденциальной информации, или делающим ее общедоступной;
  • разглашению, передаче или утрате атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
  • проектированию архитектуры системы, технологии обработки данных, разработки прикладных программ с возможностями, представляющими опасность для работоспособности системы и безопасности информации;
  • игнорированию организационных ограничений (установленных правил) при работе в системе;
  • входу в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
  • некомпетентному использованию, настройке или неправомерному отключению средств защиты персоналом службы безопасности;
  • пересылке данных по ошибочному адресу абонента (устройства);
  • вводу ошибочных данных;
  • неумышленному повреждению каналов связи.

Основные преднамеренные искусственные угрозы. Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес, с самоутверждением своих способностей и т. д. Потенциальные угрозы с этой стороны будем рассматривать только в техническом аспекте.

Информация о работе Основа стратегической безопасности