Информационная безопасность

11

ПЛАН

Введение…………………………………………………………………2

1. Необходимость защиты информации…………………………...3

2. Обеспечение информационной безопасности………………….5

Заключение……………………………………………………………..10

Список литературы…………………………………………………….11

Введение

На сегодняшний день проблема обеспечения безопасности является одной из самых актуальных в бизнесе. Если компания достигла каких-либо успехов в своём бизнесе, можно не сомневаться в том, что она вызывает немалый интерес со стороны компаний-конкурентов. Любая информация о работе фирмы будет привлекать повышенное внимание с их стороны. Поэтому защита информации становится важнейшей частью современной системы безопасности бизнеса.

“Кто владеет информацией, тот владеет миром”. Эта истина становится особенно актуальной на пороге XXI века, когда на смену постиндустриальной эпохе приходит информационная эпоха. В новом веке вопрос информационной безопасности бизнеса становится ещё более значимым.

Цель реферата - рассмотреть меры по обеспечению информационной безопасности.

1. Необходимость защиты информации

В первую очередь необходимо защищать информацию: о тех конкурентных преимуществах, которыми владеет компании, о технологиях её работы, о движении денежных и материальных потоков компании, о стратегических планах компании, о новых продуктах.

В зависимости от характера деятельности компании список объектов информационной защиты может быть расширен. Так, большинству компаний есть смысл хранить в тайне от конкурентов также информацию: о своих клиентах, о персонале компании.

Важно понять, что предприятие должно оберегать далеко не всю информацию, которой оно владеет, а лишь ту, использование которой третьими лицами может нанести ущерб деятельности компании. Напротив, существует и такая информация, которую компании просто необходимо разглашать. Излишняя закрытость компании может стать причиной негативного отношения к ней со стороны потенциальных партнёров, клиентов и инвесторов. Особенно это касается фирм, планирующих проводить размещение своих ценных бумаг. Для того чтобы этого не произошло, компания должна изначально определить, какую информацию, в каком объёме и с какой регулярностью ей следует раскрывать. При этом можно ориентироваться на западные стандарты раскрытия информации.

Что же касается той информации, которая не подлежит разглашению, то организация должна классифицировать её по степени секретности и выработать нормы информационной безопасности для каждой категории.

В своей деятельности предприятие сталкивается с различными организациями, составляющими её окружение. Это: компании-конкуренты, клиенты, партнёры, налоговые органы, регулирующие органы.

Как уже отмечалось выше, особый интерес к различного рода информации проявляют конкуренты. И именно их действия таят в себе наибольшую опасность для компании. Ведь доля рынка, которую занимает компания, всегда является лакомым куском для конкурентов, и ущерб от утечки разного рода информации, например, о характеристиках готовящегося к выпуску продукта, может оказаться невосполнимым.

Нежелательными действиями, которые могут быть осуществлены с информацией, составляющей тайну организации, являются: уничтожение важной информации, искажение открытой информации, овладение секретной информацией, копирование конфиденциальной электронной информации, закрытие или ограничение доступа к информации, необходимой компании, несанкционированный доступ к информации с ограниченным доступом.

Существует две большие группы средств и методов экономической разведки или промышленного шпионажа: методы сбора информации с применением специальной техники и методы фрагментарного сбора информации.

К промышленному шпионажу, связанному с применением специальной техники, относятся: прослушивание телефонных разговоров, прослушивание помещений, телевизионное наблюдение, слежка, вторжение в компьютерную сеть, считывание информации с мониторов.

К методам фрагментарного сбора информации относятся: телефонная разведка, лжепереговоры, переманивание сотрудников, внедрение в штат конкурента собственных сотрудников.

2. Обеспечение информационной безопасности

В целом обеспечение информационной безопасности сводится к решению двух важнейших задач: обеспечение целостности и сохранности информации, защита информации от несанкционированного доступа.

Рассмотрим меры по обеспечению целостности и сохранности информации. Как правило, для хранения информации используются: бумажные носители, электронные носители.

На бумажных носителях, как правило, хранятся документы. Количество копий документов ограничено, иногда они могут существовать в единственном экземпляре. Тогда их потеря сделает невозможным восстановление. Чтобы этого не произошло, необходимо вести строгий учёт всех документов, хранить их в соответствующих условиях и обеспечивать контроль доступа к ним

В настоящее время наблюдается явная тенденция к расширению использования электронных носителей. Во многих компаниях весь документооборот осуществляется в электронном виде. Неотъемлемой частью информационной структуры компаний являются различные электронные базы данных. И в то же время именно электронная информация является наиболее уязвимой в плане уничтожения и порчи. Дело в том, что электронные носители не слишком долговечны, а неправильное обращение с техникой может привести к случайному уничтожению информации. Другой серьёзнейшей опасностью являются компьютерные вирусы, получившие громадное распространение в последнее время. В качестве мер, используемых для защиты электронной информации от повреждения и уничтожения, обычно используют:

Резервное копирование информации. Осуществляется ежедневно и обеспечивает возможность восстановления информации на глубину не более суток. Ежедневные копии, как правило, хранятся отдельно от компьютерной сети.

Наличие резервных серверов в локальной сети. Позволяет при отказе основного сервера не прекращать работу.

Использование источников бесперебойного питания. Позволяет защитить компьютерную сеть компании от потерь информации, связанных с неполадками в электрической сети.

Создание архивов информации. Вся наиболее важная информация архивируется, записывается на съемные носители и хранится в специально оборудованном помещении. Причём для повышения надежности следует делать несколько копий и хранить их независимо друг от друга. При выборе носителя следует особое внимание уделять его надёжности и долговечности.

Антивирусная защита. Для эффективной защиты компьютерной сети от вирусной атаки следует контролировать все файлы, приходящие извне. Для этого рекомендуется отключать дисководы на рабочих станциях локальной сети, а все внешние файлы записывать только через сетевого администратора после соответствующей антивирусной проверки. Рекомендуется запретить использование дискет в организации. Наибольшую вирусную опасность таит в себе использование Internet. Необходимо так построить систему антивирусной защиты, чтобы все файлы приходящие через Internet перед использованием проходили проверку. Необходимо также проводить ежедневную профилактическую проверку перед резервным копированием.

Ограничение доступа. Во избежание случайного повреждения или удаления необходимой информации или программного обеспечения следует ограничивать доступ каждого пользователя локальной сети компании только к необходимой ему информации. В тех случаях, когда информацию следует защищать от самого пользователя, следует применять доступ “только для чтения”.

Теперь рассмотрим меры по защите информации от несанкционированного доступа.

Наиболее важным средством борьбы с утечкой информации является работа с персоналом. Самым важным этапом является отбор персонала. После приёма на работу необходимо время от времени проводить негласный контроль деятельности сотрудников с целью предотвратить возможные утечки информации. Необходимо, чтобы руководство также всегда было в курсе проблем своих подчинённых, дабы избежать таких ситуаций, когда поиск дополнительного заработка или излишнее честолюбие толкают человека на продажу секретов предприятия.

Однако все эти меры не принесут никакого результата, если на предприятии не будет выработано чёткой системы разграничения доступа к информации. В зависимости от существующей на предприятии иерархии, каждый сотрудник должен иметь доступ к строго определённому количеству информации. Помимо этого необходимо иметь внутреннее положение о служебной информации и коммерческой тайне и чётко определять степень секретности каждого документа.

Наиболее эффективным способом защиты информации от нежелательного доступа является дробление информации. Этот принцип заключается в том, что любой из сотрудников должен владеть только информацией, касающейся своего участка работы. Таким образом, любая информация дробится между сотрудниками, и никакая секретная информация не может быть полностью доступна одному человеку. В результате он ни сознательно, ни бессознательно не сможет передать кому-либо всю тайну.

Для защиты от промышленного шпионажа с применением технических средств необходимо применять специальные средства. В настоящее время на каждый “жучок” существует “антижучок”. Важно регулярно осуществлять соответствующие проверки, постоянно контролировать уязвимые места.

И, конечно же, главным объектом защиты от несанкционированного доступа является электронная информация. Основными методами её защиты являются:

Разграничение доступа. Как уже отмечалось выше, каждый сотрудник должен работать в локальной сети только с той информацией, которая ему необходима для выполнения своих должностных обязанностей. Пренебрежение разделением доступа или неправильное его применение может привести к тому, что рядовые сотрудники будут иметь практически всю информацию о деятельности компании. Также необходимо фиксировать и периодически отслеживать работу пользователей в сети.

Локализация внутренней компьютерной сети. Для предотвращения утечки информации следует устанавливать в сеть компьютеры, не имеющие дисководов и параллельных портов. Это сделает невозможным скачивание информации с компьютеров фирмы.

Исключение наиболее важных компьютеров от локальной сети. Для уменьшения вероятности несанкционированного доступа рекомендуется объединять в локальную сеть только компьютеры, завязанные на единый технологический процесс. Правда, как правило, таких компьютеров большинство. Однако руководителям компании желательно иметь собственные независимые компьютеры, доступ к которым имеют только они сами.

Локализация работы с Internet. Всемирная компьютерная сеть таит в себе немало опасностей не только с точки зрения вирусных атак, но и с точки зрения взлома компьютерных сетей предприятий. Чтобы этого не произошло, необходимо разделить внутреннюю сеть предприятия и Internet. На небольших фирмах возможно выделение отдельного локального компьютера для работы во всемирной сети. Однако на крупном предприятии, где большинство сотрудников пользуются Internet, это не всегда возможно. В таком случае на рабочих станциях следует устанавливать режим, при котором перед входом в Internet компьютер отключается от локальной сети.

Шифрование информации. Этот метод применяется в основном при передаче информации по модему через телефонные линии, поскольку существует вероятность перехвата такой информации третьими лицами. В настоящее время существуют сертифицированные криптографические программы, и их необходимо использовать в том случае, если вы используете какие-либо постоянные каналы передачи электронной информации.

Электронно-цифровая подпись. Обеспечивает достоверность передаваемой по модему информации. Служит защитой от намеренного искажения передаваемой информации. В настоящее время существуют сертифицированные программы электронно-цифровой подписи с различной степенью защиты. Особое значение применение таких средств имеет при использовании электронных платежей и передаче сообщений повышенной секретности.

Все описанные меры не должны применяться отдельно друг от друга. Для того чтобы обеспечить эффективную защиту информации, необходимо выработать систему информационной безопасности предприятия.

Заключение

Создавая систему информационной безопасности, важно, с одной стороны, не скупиться, поскольку потери могут оказаться неизмеримо больше, а с другой стороны, не переборщить, чтобы не выбрасывать деньги на ненужные псевдозащитные мероприятия и не затруднять прохождение информационных потоков. Безопасности никогда не бывает много, но никогда нельзя забывать, что главная цель системы безопасности - обеспечение надёжного и бесперебойного функционирования организации.

Сфера информационной безопасности -- наиболее динамичная область развития индустрии безопасности в целом. Если обеспечение физической безопасности имеет давнюю традицию и устоявшиеся подходы, то информационная безопасность постоянно требует новых решений, т.к. компьютерные и телекоммуникационные технологии постоянно обновляются, на компьютерные системы возлагается все большая ответственность.

Список литературы

1. Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. // Открытые системы. -№6. - 1998.

2. Баутов А. Экономический взгляд на проблемы информационной безопасности. // Открытые системы. - №2. - 2002.

3. Крысин В.А. Безопасность предпринимательской деятельности. -- М: Финансы и статистика, 1996.

4. http://www.security.promo.ru/