Учебн. пособие по ИБ -2013



Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего профессионального образования

«Пермский национальный исследовательский политехнический университет»

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

Учебно-методическое пособие

Пермь 2013

УДК 621.38 (075.8)

ББК 32.81я73

Шабуров А.С.

Информационная безопасность предприятия: Учебно-методическое пособие. – Перм. нац. исслед. политехн. ун-т. – Пермь, 2013., 68 с.

В учебном пособии рассмотрены вопросы информационной безопасности, проанализированы угрозы информации и основные направления ее защиты в современных условиях, этапы и принципы создания комплексных систем безопасности предприятия. Даны рекомендации по обеспечению сохранности конфиденциальной информации в деятельности предприятий различных форм собственности, указания по написанию контрольной работы по дисциплине.

Пособие предназначено для студентов, обучающихся по специальностям: «Менеджмент», «Экономика и управление на предприятии».

ОГЛАВЛЕНИЕ

Введение…………………………………………………………………..

5

1.

ПОНЯТИЕ И СУЩНОСТЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

6

1.1.

Основные понятия информационной безопасности…………………

6

1.2.

Виды и состав угроз информационной безопасности……………..

9

1.3.

Угрозы промышленного шпионажа и основные способы

его ведения…………………………………………………………….

14

1.4.

Направления обеспечения информационной безопасности……

17

2.

ОСНОВНЫЕ ВИДЫ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ ………………

17

2.1.

Особенности защищаемой информации …………………………..

17

2.2.

Виды защищаемой информации……………………………………..

18

2.3.

Разработка перечня сведений ограниченного доступа на предприятии ………………………………………………………………

28

3.

ПРАВОВЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИ………………………

30

3.1.

Система правовой защиты информации…………………………..

30

3.2.

Ответственность за нарушение законодательства в информационной сфере………………………………………………………

32

3.3

Отечественные и зарубежные стандарты в области информационной безопасности……………………………………………….

38

4.

ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ……………..………………

39

4.1.

Технические средства защиты информации……………………….

40

4.2.

Программные средства защиты информации……………………..

41

4.3.

Программно-технические средства защиты информации ………..

42

5.

ФИЗИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ …………………………….

43

6.

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ…………………

47

7.

ОРГАНИЗАЦИОННАЯ ЗАЩИТА ИНФОРМАЦИИ ……..…………….

49

7.1.

Организационные мероприятия по защите информации ………..

49

7.2.

Организация службы безопасности предприятия …………………

50

7.3.

Организация охраны и режима ……………………………………

52

7.4

Организация работы с персоналом в системе информационной безопасности…………………………………………………………

53

7.5.

Организация конфиденциального делопроизводства…………….

59

7.6.

Аналитическая работа по выявлению каналов утраты информации……………………………………………………………………

60

7.7.

Комплексное управление системой защиты информации………..

61

7.8.

Нормативно-методическое обеспечение защиты информации ….

64

Заключение…………………………………………………………………..

66

Методические указания по выполнению контрольной работы…………..

67

Список литературы………………..………………………………………

68

ВВЕДЕНИЕ

Развитие мировой экономики характеризуется все большей зависимостью рынка от значительного объема информационных потоков, а принятие решений во всех сферах жизнедеятельности предприятия или организации все в большей степени базируется на информационных процессах. Анализ этих процессов с последующей выработкой управляющих решений осуществляется на основе информационных моделей, построенных на современных информационно-телекоммуникационных технологиях.

Информационный ресурс становится одним из главных источников экономической эффективности предприятия. Фактически наблюдается тенденция, когда все сферы жизнедеятельности предприятия становятся зависимыми от информационного развития, в процессе которого они сами порождают информацию и сами же ее потребляют. Поэтому защита информации представляет собой самостоятельное и значимое направление деятельности предприятия.

Несмотря на все возрастающие усилия по созданию технологий защиты е уязвимость информации не только не уменьшается, но и постоянно возрастает. В настоящее время крупные иностранные корпорации до 40% прибыли вкладывают в безопасность. В России также нарастает тенденция увеличения ассигнований в обеспечение безопасности. Практически во всех устойчиво работающих предприятиях созданы службы безопасности. Эффективность функционирования подобного рода служб во многом зависит от грамотного вложения выделяемых средств и профессионального подхода в вопросах организации системы защиты информации.

На современном этапе развития основными угрозами безопасности предприятия являются угрозы в сфере информационного обеспечения. Последствиями успешного проведения информационных атак могут стать компрометация или искажение конфиденциальной информации, навязывание ложной информации, нарушение установленного регламента сбора, обработки и передачи информации, отказы и сбои в работе технических систем, вызванные преднамеренными и непреднамеренными действиями, как со стороны конкурентов, со стороны преступных сообществ, так и со стороны персонала организации.

К одной из наиболее важных задач в области обеспечения безопасности следует отнести создание комплексной системы защиты информации, включающего разработку и внедрение всех современных технологий, методов и средств, обеспечивающих защиту предприятия от всех видов угроз, гарантирующих его устойчивое развитие в современных условиях.

Целью изучения дисциплины Информационная безопасность предприятия является приобретение студентами знаний о сущности информационной безопасности и защиты информации, определение теоретических, концептуальных, методологических и организационных основ данного вида деятельности, изучение основных угроз информационной безопасности и базовых направлений деятельности по обеспечению информационной безопасности и защиты информации.

1. ПОНЯТИЕ И СУЩНОСТЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1 Основные понятия информационной безопасности

Развитие предпринимательской деятельности внутри страны и за рубежом активизировало экономическую разведку и защиту промышленной собственности и коммерческой тайны. Определенность терминов в сфере обеспечения безопасности и защиты информации определяет взаимопонимание в данной сфере деятельности, способствует оптимизации принимаемых мер защиты.

На общеупотребительном уровне информация выступает как совокупность данных об экономической ситуации, доведенных до сведения агентов институтами статистики, органами прогнозирования или же органами содействия принятию решения.

В экономическом аспекте информация — специфический товар, обусловливающий неравенство (асимметрию) на рынке и по своим свойствам подчиняющийся экономике информационного производства.

Информационный ресурс, или информационный потенциал общества, — социально значимая информация, содержащаяся во всех действующих в обществе информационных системах, которая может быть использована для принятия решений во всех сферах человеческой деятельности.

В законе РФ об «Информации, информационных технологиях и защите информации», определено: «информация — сведения (сообщения, данные) независимо от формы их представления».

Информация — сильнейшее современное двустороннее оружие (информация — дезинформация), активно используемое в политике, экономике, науке и технике. Информационные технологии создали предпосылки для появления понятий «глобальная информационная угроза», «информационное оружие», «информационная война».

Информационное оружие специально подобранная информация; под ее воздействием происходят изменения в информационных системах и процессах (физических, биологических, социальных) в соответствии с замыслом субъекта его применения.

Информационная война форма борьбы сторон с использованием специальных способов и средств для воздействия на информационную среду противника и зашиты собственной в интересах достижения поставленных целей.

В условиях современной всеобщей компьютеризации информационные войны наиболее опасный вид войны. Информационная революция существенно воздействует на соотношение сил в мире, изменяет характер будущих войн, формы и способы их ведения. Растет разнообразие форм, используемых в процессе информационных войн. Используются спутники и международная компьютерная сеть либо агенты спецслужб. Кроме того, значительно возросла вероятность компьютерного терроризма.

Отсюда важнейшие задачи общей теории безопасности в условиях современного постиндустриального (информационного) общества — обоснование и разработка оптимальной структуры системы информационной безопасности, постановка целей и задач, определение места и роли основных компонентов, их взаимосвязи и взаимодействия.

Спектр интересов субъектов, связанных с использованием информационных ресурсов и систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.

Доступность информации — состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.

Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

Кроме того, защита информации понимается как деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Средство защиты информации — техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Способ защиты информации — порядок и правила применения определенных принципов и средств защиты информации.

Защита информации от утечки — защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации (иностранными) разведками и другими заинтересованными субъектами.

Защита информации от разглашения — защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

Защита информации от несанкционированного доступа — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.

Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Опасности возможные или реальные явления, события и процессы, способные нанести ущерб или уничтожить индивида, социальную группу, народ, общество, государство и человечество в целом, нанести ущерб благополучию, разрушить материальные, духовные или природные ценности, вызвать деградацию, закрыть путь к развитию науки в целом. Опасности родственно понятие «угроза»; угрозы исходят от различного рода источников опасности.

В зависимости от типа угрозы, а также в содержательном плане для международной и национальной безопасности, выделяются следующие сферы (области) ее проявления и обеспечения:

экологическая безопасность;

экономическая безопасность;

военная безопасность;

ресурсная безопасность;

информационная безопасность;

социальная безопасность;

научно-техническая безопасность;

энергетическая безопасность;

ядерная безопасность;

политическая безопасность;

инновационная безопасность;

правовая безопасность;

культурная безопасность;

техническая безопасность и др.

Многообразие объектов защиты, множество опасностей и угроз, а также их источников в настоящее время выдвигает на первый план необходимость разработки общетеоретических основ обеспечения безопасности. Постановка любой новой проблемы требует выделения базовых вопросов. Их методологическое осмысление позволяет понять проблему в целом и выйти на ее практическое, прикладное решение.

Основой современной концепции безопасности в условиях глобализации является единство отношений основных социальных субъектов — личность, организация, общество, государство и мировое сообщество в целом.

Методологию безопасности можно сформулировать как учение об основах, принципах, структуре, логической организации системы безопасности, видах и методах деятельности по ее обеспечению.

Особое значение информационная безопасность приобретает в условиях коммерческой деятельности. Информация об изменении политической, социальной, экономической и экологической ситуации, изменения рынков организации, научно-техническая и технологическая информация, конкретные ноу-хау, касающиеся каких-либо аспектов бизнеса, новое в методах организации и управления бизнесом позволяет адекватно реагировать на любые изменения внешней среды бизнеса, эффективно планировать и осуществлять свою хозяйственную деятельность.

Факторы бизнеса, используемые владельцами организации для выполнения целей бизнеса: ресурс капитала, ресурс персонала, ресурс информации и технологии являются корпоративными ресурсами. Эта информация, касающаяся всех сторон деятельности предприятия и организации, в настоящее время наиболее ценный и дорогостоящий ресурс, требующий принятия определенных мер по защите.

Таким образом, в настоящее время сложилась система взглядов на обеспечение информационной безопасности. В то же время злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту, что определяет актуальность оценки угроз информационной безопасности.

1.2. Виды и состав угроз информационной безопасности

Под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Фактор, воздействующий на защищаемую информацию — явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость информационной системы (брешь)- свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

По отношению к информации и информационным ресурсам можно выделить угрозы целостности, конфиденциальности, достоверности и доступности информации, проявляющиеся в различных формах нарушений (рис. 1.).

Как правило, вышеперечисленные угрозы информационным ресурсам реализуются следующими способами:

Через имеющиеся агентурные источники в органах государственного управления и коммерческих структурах, имеющих возможность получения конфиденциальной информации (суды, налоговые органы, коммерческие банки и т. д.).

Путем подкупа лиц, непосредственно работающих в организации или структурах, напрямую связанных с ее деятельностью.

Путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной технике с помощью технических средств разведки и съема информации.

Путем прослушивания конфиденциальных переговоров и другими способами несанкционированного доступа к источникам конфиденциальной информации.

Угрозы информационной

безопасности

Проявляются в нарушениях

ЦЕЛОСТНОСТИ

КОНФИДЕНЦИАЛЬНОСТИ

ДОСТУПНОСТИ

Разглашение

Утечка

Несанкционированный доступ

Искажения

Ошибки

Потери

Фальсификации

Нарушение связи

Воспрещение получения

Рис. 1. Влияние угроз информации на критерии информационной безопасности

Информационная безопасность оказывает влияние на защищенность интересов в различных сферах жизнедеятельности общества и государства. В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности.



Страницы: Первая | 1 | 2 | 3 | ... | Вперед → | Последняя | Весь текст




map