Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Защита информации - основа безопасности бизнеса.
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2024
Тип роботи:
Лекція
Предмет:
Засоби захисту інформації
Частина тексту файла (без зображень, графіків і формул):
Защита информации - основа безопасности бизнеса
Опубликовано: HYPERLINK "http://www.security.ukrnet.net/userinfo.php?uid=4" domarev , On: Dec-17-2004
ЗАЩИТА ИНФОРМАЦИИ - ОСНОВА БЕЗОПАСНОСТИ БИЗНЕСА
(Часть 1)
Заместитель директора ООО "Квирин" - Ананский Е.В.
(Журнал "Служба безопасности" №9-10 1999 г.)
Об информационной безопасности в разных вариантах последнее время можно прочитать практически в каждой газете и журнале. Это что дань моде или реальная необходимость уметь получать информацию, которая интересует вас и беречь свою? Мы об этом заговорили после того как у нас начали развиваться рыночные отношения. Вот почему в вопросах информационной безопасности мы в основном ссылаемся на исследования западных специалистов, которые имеют многолетний опыт в этих вопросах.
Спасение утопающих - есть дело рук самих утопающих
Нельзя говорить, что у нас нет опыта в обеспечении защиты информации. Просто до недавнего времени эта тема была не для открытой публикации и была доступна только специалистам в этой области. И сейчас там, где информация с ограниченным доступом содержит государственные или военные секреты, более или менее все ясно. Действуют законы, стандарты, положения, инструкции, методики и нормы выработанные еще в доперестроечный период за все время существования СССР и, которые теперь в Украине дорабатываются, переиздаются и уточняются исходя из требований времени, созданной государственной структуры и современного уровня науки и техники.
Но вот появилось понятие коммерческой тайны или, как определено Положением по технической защите информации и Государственными стандартами, - "информация с ограниченным доступом, носящая конфиденциальный характер". Защита такой информации - забота самих предпринимателей, руководителей банков, различных фирм и других коммерческих структур. По защите конфиденциальной информации нет пока еще четко узаконенных правил, требований и норм.
К сожалению приходится констатировать тот факт, что многие бизнесмены, руководители коммерческих структур, банков должным образом не уделяют этому постоянного внимания и начинают беспокоиться тогда, когда уже обнаружена утечка информации.
Проблема состоит не только в том, что преступные элементы или группировки обогащаются за счет объектов преступной деятельности, а в том , что это приводит, в конечном счете к подрыву экономики государства.
По представлениям многих бизнесменов беспокоиться о возможной утечке информации следует только в том случае, когда в его действиях есть криминал и, как говорится, под него "копают". На самом деле это не так.
Что может создавать опасность для бизнесменов или коммерсантов, заинтересованных, разумеется, в соблюдении коммерческой тайны?
Как правило это:
разведывательная деятельность конкурентов; несанкционированные действия сотрудников собственной фирмы; неправильная политика фирмы в области безопасности.
Информация, представляющая интерес при сборе и анализе сведений:
Сведения коммерческого содержания:
уставные документы фирмы;
сводные отчеты по финансовой деятельности фирмы (ежемесячные, квартальные, годовые, за несколько лет);
кредитные договоры с банками;
договоры купли и продажи;
сведения о перспективных рынках сбыта, источниках средств или сырья, товарах, о выгодных партнерах;
любая информация, предоставленная партнерами, если за ее разглашение предусмотрены штрафные санкции.
данные о конкурентах, их слабые и сильные стороны;
условия финансовой деятельности;
технологические секреты;
меры, предпринимаемые конкурентами в отношении своих противников;
данные о потенциальных партнерах, проверка их на недобросовестность;
информация о месте хранения грузов, времени и маршрутах их перевозки;
выявление уязвимых звеньев среди сотрудников;
выявление лиц, перспективных для вербовки путем подкупа, шантажа или иного метода;
связи и возможности руководства;
выявление круга постоянных посетителей.
Сведения личного характера:
источники доходов;
истинное отношение к тем или иным общественным явлениям, "сильным мира сего";
уклад личной жизни руководителя и членов его семьи;
расписание и адреса встреч - деловых и личных;
данные о размерах финансового благополучия;
информация о человеческих слабостях;
пагубные пристрастия;
вредные привычки;
сексуальная ориентация;
данные о друзьях, подругах, местах проведения досуга, способах и маршрутах передвижения;
информация о местах хранения ценностей;
место жительства;
супружеская неверность;
проблемы отцов и детей.
Необходимо отметить, что безопасность как система мер требует обеспечения необходимого уровня защищенности по ряду направлений:
защита от организованной преступности;
защита от нарушений закона;
защита от недобросовестной конкуренции;
Эти направления реализуются на участках:
производственной деятельности; коммерческой деятельности; информационного обеспечения; кадрового обеспечения; страхования;
и других направлений.
В качестве примера приведу некоторые аналитические материалы, полученные мною по сети интернет.
Письменный опрос (анкетирование) 250 московских бизнесменов, проведенный летом 94 года показал, что наиболее типичными формами и методами экономического шпионажа они считают:
подкуп или шантаж сотрудников фирмы - 43% ответов;
съем информации с ПЭВМ спецтехникой (проникновение в базы данных, копирование программ) - 42%;
копирование или хищение документов, чертежей, экспериментальных и товарных образцов - 10%;
прослушивание телефонных разговоров, подслушивание разговоров в помещениях и автомобилях; - 5%.
Любопытно сравнить результаты этого опроса с мнением группы экспертов стран Общего рынка (94-й год) о формах и методах несанкционированного доступа к коммерческим секретам конкурирующих фирм:
подкуп или шантаж сотрудников фирмы, внедрение туда своих агентов - 42% ответов;
съем информации с ПЭВМ спецтехникой - 35%;
копирование или хищение документов, чертежей, экспериментальных и товарных образцов - 13%;
прослушивание и подслушивание - 5%;
другие способы - 5%.
Как видим, выводы обеих групп заинтересованных лиц поразительно близки друг другу. Что же касается условий, способствующих утечке коммерческих секретов фирм, то опрос 3-х тысяч респондентов в семи городах России, проведенный московским центром по изучению проблем недобросовестной конкуренции в 92-м году, дал следующие результаты:
болтливость сотрудников, особенно в связи с потреблением алкоголя и в дружеских компаниях - 32% ответов;
стремление сотрудников заработать деньги любым способом, по принципу "деньги не пахнут" - 24%;
отсутствие службы безопасности фирмы - 14%;
"совковая" привычка сотрудников "делиться передовым (и иным) опытом", давать советы посторонним - 12%;
бесконтрольное использование информационных и копировальных средств на фирме - 10%;
психологические конфликты между сотрудниками, между сотрудниками и руководством, набор случайных людей, жаждущих "продаться" или "отомстить" - 8%.
Получить достоверную информацию о деятельности фирмы незаконным путем маловероятно, если фирма с пониманием относится к сохранности коммерческой тайны и создания соответствующей системы защиты.
В то же время многие под безопасностью понимают, прежде всего, физическую защищенность, иногда включая отдельные требования информационной защиты коммерческих интересов, что не способствует решению проблем безопасности в комплексе.
Каждый коммерческий объект должен строить свою систему защиты информации на концептуальной основе, исходя из назначения объекта, его размеров, условий размещения, характера деятельности и т.д.
При разработке концепции защиты необходимо исходить из детального анализа направлений деятельности предпринимательской структуры и комплексных требований защиты. Особенно, если структуры применяют в своей деятельности средства информатики.
Учитывая многообразие потенциальных угроз информации в системе обработки данных, сложность структуры и функций, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания системы защиты информации на основе комплексного подхода. И начинать создание системы надо с оценки угроз безопасности деятельности коммерческого объекта, а исходя из полученных результатов анализа, принимается решение о построении всей системы защиты и выбираются необходимые средства.
Классификация угроз безопасности информации
Офис обычной современной фирмы или банка представляет собой напичканные электроникой помещения, где информация, представляющая собой коммерческую тайну, может находиться на бумажных носителях, на машинных, передаваться по телефону, телефаксу, телексу, обрабатываться, храниться и передаваться средствами вычислительной техники, записываться и воспроизводиться магнитофонами, диктофонами, видеомагнитофонами. Наконец информация присутствует в воздушной среде в виде акустических сигналов при переговорах. Далее в статье все действия направленные на получение, обработку, запись, хранение и передачу конфиденциальной информации любого вида, будем называть - обработка данных.
Существуют угрозы нанесения ущерба системам обработки данных, вызываемые физическими воздействиями стихийных природных явлений, не зависящие от человека. Однако более широк и опасен круг искусственных угроз, вызванных человеческой деятельностью, среди которых исходя из мотивов можно выделить:
неумышленные (непреднамеренные) угрозы, вызываемые ошибками в проектировании, в действиях обслуживающего персонала, программном обеспечении, случайными сбоями в работе средств вычислительной техники и линий связи, энергоснабжения, ошибками пользователей, воздействием на аппаратуру физических полей и т.д.;
умышленные (преднамеренные) угрозы, обусловленные несанкционированными действиями обслуживающего персонала и несанкционированным доступом (НСД) к информации посторонних лиц.
Результатом реализации угроз информации может быть:
утрата (разрушение, уничтожение); утечка (извлечение, копирование, подслушивание); искажение (модификация, подделка); блокирование.
Угрозы, не связанные с деятельностью человека.
Наиболее типичной естественной угрозой системам обработки данных, не всегда связанной с деятельностью человека, является пожар.
Поэтому при проектировании и эксплуатации систем обработки данных в обязательном плане решаются вопросы противопожарной безопасности. Особое внимание при этом следует уделить защите от пожара носителей компьютерных данных, файл-серверов, отдельных вычислительных машин, центров связи, архивов, и другого оборудования и помещений или специальных контейнеров, где сконцентрированы огромные массивы очень важной информации. Для этих целей могут быть использованы специальные несгораемые сейфы, контейнеры и др. В частности хорошо зарекомендовало себя в западной Европе и у нас в Украине оборудование для защиты носителей информации и информационно-вычислительных комплексов немецкой фирмы ЛАМПЕРТЦ , которое в силу своей специфики, чаще всего применяется в банках, где потеря информации может привести к катастрофическим последствиям.
Другая угроза для систем обработки данных в компьютерных системах - удары молнии. Эта проблема возникает не часто, но ущерб может быть нанесен очень большой. Причем ущерб не столько материальный, связанный с ремонтом или заменой вышедшей из строя техники и восстановлением потерянной информации, циркулирующей в компьютерных сетях, но прежде всего, если не применены необходимые технические меры защиты от мощных электромагнитных излучений грозовых разрядов, выходят из строя отдельные рабочие станции или серверы сети, и на значительное время парализуется работа объекта, все операции прекращаются. Фирма и особенно банк в такой ситуации теряет свой имидж надежного партнера и, как следствие, клиентов.
Такие случаи имели место и у нас в Киеве, но по указанной выше причине утаивались и не просочились в печать. Для большинства организаций потеря имени, появление каких-либо слухов о внутренних проблемах гораздо неприятнее финансовых потерь, порой даже и довольно ощутимых.
Для зданий, где размещаются технические средства обработки информации, расположенных в долинах рек или на побережье, весьма вероятной угрозой является затопление. В этих случаях аппаратные средства не должны устанавливаться на нижних этажах зданий и должны приниматься другие меры предосторожности.
Нанесение ущерба ресурсам систем обработки данных может также быть вызвано землетрясениями, ураганами, взрывами газа и т.д. Ущерб может быть нанесен при технических авариях, например, при внезапном отключении электропитания и т.д.
Угрозы, связанные с деятельностью человека.
Этот вид угроз можно разделить на:
угрозы системе обработки информации в результате несанкционированного использования штатных технических и программных средств, а также их хищения, порчи, разрушения;
угрозы в результате использования специальных средств, не входящих в состав системы обработки данных (побочные излучения, наводки по цепям питания, использование аппаратуры звукоусиления, прием сигналов из линий связи, акустические каналы);
угрозы использования специальных методов и технических средств (фотографирование, электронные закладки, разрушающие или искажающие информацию, а также передающие обрабатываемую или речевую информацию);
облучение технических средств зондирующими сигналами, в результате чего может происходить искажение или разрушение информации, а при значительной мощности облучений и вывод из строя аппаратуры.
Зарубежные специалисты к числу наиболее вероятных каналов утечки конфиденциальной информации относят следующие:
совместную деятельность с другими фирмами;
проведение переговоров;
экскурсии и посещения фирмы;
рекламу, публикации в печати, интервью для прессы;
консультации специалистов со стороны, получающих доступ к документации и производственной деятельности фирмы;
фиктивные запросы о возможности работы в фирме, заключения с ней сделок, осуществления совместной деятельности;
рассылку отдельным сотрудникам фирмы различных анкет и вопросников под маркой научных или маркетинговых исследований;
частные беседы с сотрудниками фирмы, навязывание им незапланированных дискуссий по тем или иным проблемам.
Анализ системы защиты коммерческих секретов, моделирование вероятных угроз позволяет намечать - при необходимости - дополнительные меры безопасности. При этом степень их целесообразности определяется достаточно просто: затраты на обеспечение надлежащей секретности должны быть существенно меньше, чем возможный экономический ущерб.
Однако, как образно выразился один эксперт, "степень надежности любого шифра определяется не его сложностью, а неподкупностью шифровальщика". Иными словами, ключевыми фигурами систем защиты коммерческих секретов являются сотрудники фирм. Причем не только те, которые работают с закрытой информацией (хотя данная категория в первую очередь). Рядовой сотрудник, не имеющий доступа к коммерческой тайне, тоже может оказать помощь конкурентам в проведении электронного шпионажа, обеспечить условия для хищения носителей информации, для выведывания, снятия копий.
По мнению зарубежных специалистов, вероятность утечки сведений, составляющих коммерческую тайну, при проведении таких действий, как подкуп, шантаж, переманивание сотрудников фирмы, внедрение своих агентов составляет 43%; получение сведений путем их выведывания у сотрудников - 24%.
Таким образом, персонал фирмы является, с одной стороны, важнейшим ресурсом предпринимательской деятельности, а с дугой, отдельные сотрудники в силу различных обстоятельств могут стать источником крупных потерь и даже банкротства фирмы. Именно поэтому организационные и административные меры защиты конфиденциальной информации необходимо сочетать с социально-психологическими мерами. Среди социально-психологических мер защиты можно выделить два основных направления: это, во-первых, правильный подбор и расстановка кадров и, во-вторых, использование материальных и моральных стимулов. Западные специалисты по экономической безопасности считают, что от правильного подбора, расстановки и стимулирования персонала сохранность фирменных секретов зависит, как минимум, на 80%!
Американский психолог А. Маслоу выделяет у человека пять групп основных потребностей:
Физиологические;
В обеспечении безопасности;
В общении и контактах с другими людьми;
В общественном признании своей значимости, в приобретении возможно более высокого социального статуса;
В самореализации.
Зная этот научно установленный факт, грамотный руководитель любой фирмы должен так организовывать работу, чтобы каждый его сотрудник получал от работы максимальное удовлетворение (возвращаясь в этой связи к проблеме подбора отмечу, что наибольшее удовлетворение человек получает при занятиях той деятельностью которая максимально соответствует его способностям и интересам).
Создавая условия для удовлетворения сотрудником его потребностей в самореализации способностей и потенций, в общественном признании его значимости, можно в рамках фирмы установить благоприятный социально-психологический климат, максимально снизить текучесть кадров, сформировать так называемый "фирменный патриотизм". В такой обстановке маловеоятно появление работника, пытающегося самоутвердиться путем передачи конкурентам секретов, т.е. путем предательства.
Исходя из сказанного, необходимо в работе с персоналом руководствоваться следующими правилами:
создать действенную систему материальных стимулов;
обеспечить каждого сотрудника долговременной работой;
относиться к ним как к самостоятельным индивидам;
обеспечить участие в прибылях;
создать возможности для продвижения по службе;
обеспечить участие всего персонала в выработке решений;
создать гибкую не травмирующую систему увольнений.
Кроме того, американские специалисты в области противодействия промышленному шпионажу рекомендуют использовать любую возможность для пропаганды программ обеспечения экономической безопасности фирмы; не забывать периодически вознаграждать сотрудников фирмы за успехи в этой работе; всемерно стимулировать участие сотрудников фирмы в реализации программ обеспечения секретности.
Вы познакомились с основными положениями первого этапа комплексной системы информационной безопасности фирмы. Далее следует провести анализ потенциальных технических каналов утечки информации и методов защиты. Но это уже материал отдельного рассмотрения.
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора