Системный подход к анализу информационных рисков и угроз предприятия

Системный подход к анализу угрозами информационной безопасности. Метод защиты автоматизированной системы от угроз, относящихся к информационной безопасности. Изучение систематизации подходов, связанных с анализированием и обеспечением безопасности.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 11.12.2016
Размер файла 148,6 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

2

Оглавление

Введение

1. Системный подход к анализу угрозами информационной безопасности

1.1 Классификация угроз информационной безопасности

1.2 Внешние угрозы информационной безопасности

1.3 Внутренние угрозы информационной безопасности

1.4 Метод защиты автоматизированной системы от угроз, относящихся к информационной безопасности

2. Системный подход к анализу информационными рисками предприятия

2.1 Системный подход к анализу информационной сферы предприятия

2.2 Управление информационными рисками

Заключение

Список используемых источников

Введение

Понятия "системный подход" и "информационный риск" употребляются в научно-практической литературе достаточно часто. Вместе с тем, оба эти понятия не имеют пока точной научной формулировки.

Системный подход тесно связан с общей теорией систем, начало формирования, которой положили работы Л. фон Берталанфи. Большой вклад в развитие общей теории систем внесли ученые Р. Акоф, А. Раппопорт. В. Н. Садовский, А. И. Уемов, Ю. А. Урманцев, Б. С. Флейшман и другие. И все же попытки создания единой общепризнанной теории создать так и не удалось.

Это же можно отметить и в отношении системного подхода. Понимание термина зависит от науки и научных школ, в рамках которых он рассматривается. Несмотря на отсутствие строгого определения системного подхода, сущность данного понятия может быть выражена через его свойства и характеристики.

Не сложилось пока единого подхода и к определению информационного риска. Появившись немногим более десяти лет назад как развитие понятия "угроза безопасности информации", термин "информационный риск" по-прежнему связывают лишь с областью информационной безопасности. Сделав важный шаг в направлении придания термину экономического смысла, не был сделан второй шаг, который как раз и возможно осуществить с использованием системного подхода. Именно такой подход позволяет связать понятия «информационный риск» и «информационная угроза» и с ущербом предприятия не только в результате нарушения безопасности информации, но и снижения других важных показателей качества информации.

Целью данной курсовой работы является ознакомление с описанием общепринятых понятий информационных рисков и угроз, а так же изучение систематизации подходов, связанных с анализированием и обеспечением безопасности от таких проблем.

Работа состоит из: Введения, двух глав, заключения и списка используемых источников.

1. Системный подход к анализу угрозами информационной безопасности

информационный безопасность автоматизированный угроза

1.1 Классификация угроз информационной безопасности

Анализ актуальных угроз конфиденциальной информации, на основе которого строится система информационной безопасности предприятия и осуществляется организация защиты информации, начинается с понимания и классификации этих угроз. В настоящий момент теория информационной безопасности рассматривает несколько классификаций информационных рисков и угроз защиты информации. Мы остановимся на генерализированном разделении угроз информационной безопасности интеллектуальной собственности организации на две категории - внешние и внутренние угрозы. Данная классификация предусматривает разделение угроз по локализации злоумышленника (или преступной группы), который может действовать как удалённо, пытаясь получить доступ к конфиденциальной информации предприятия при помощи сети интернет, либо же действовать посредством доступа к внутренним ресурсам IT-инфраструктуры объекта.

В случае внешних атак, преступник ищет уязвимости в информационной структуре, которые могут дать ему доступ к хранилищам данных, ключевым узлам внутренней сети, локальным компьютерам сотрудников. В этом случае злоумышленник пользуется широким арсеналом инструментов и вредоносного программного обеспечения (вирусы, трояны, компьютерные черви) для отключения систем защиты, шпионажа, копирования, фальсификации или уничтожения данных, нанесения вреда физическим объектам собственности и т.д. Внутренние угрозы подразумевают наличие одного или нескольких сотрудников предприятия, которые по злому умыслу или по неосторожности могут стать причиной утечки конфиденциальных данных или ценной информации. Рассмотрим эти категории рисков информационной безопасности подробнее.

1.2 Внешние угрозы информационной безопасности

Доклад Всемирного экономического форума «Глобальные риски 2012» (“Global Risks 2012”) рассматривает кибератаки как одну из основных угроз мировой экономике. По вероятности наступления, кибератаки входят в пятёрку наиболее вероятных глобальных угроз на 2012 год. Такое заключение Всемирного экономического форума свидетельствует о высокой актуальности и значительной опасности электронной преступности. В документе приводится также график роста официально признанных инцидентов киберпреступности с указанием значительного увеличения потерь от таких преступлений на примере США:

Рис. 1 График. Количественная хронология кибератак

Следует отметить, что доклад Pricewaterhouse Coopers за 2011 год, в соответствии с данными которого был построен этот график, оперирует только официально признанными фактами электронных преступлений, равно как и официально объявленными цифрами убытков - реальная картина выглядит ещё более удручающей. Причём не только в США, эта тенденция является общемировой.

Итак, кибератаки сегодня - это реальная и серьёзная опасность информационной инфраструктуре, интеллектуальной и физической собственности государственных и коммерческих объектов. Наиболее распространённой и разнообразной по методам исполнения формой киберпреступности является использование вредоносного ПО. Такие угрозы представляют прямую опасность конфиденциальности и целостности информационных ресурсов организации. В атаках с использованием вредоносных кодов и приложений используются уязвимости информационных систем для осуществления несанкционированного доступа к базам данных, файловой системе локальной корпоративной сети, информации на рабочих компьютерах сотрудников. Спектр угроз информационной безопасности, вызванных использованием вредоносного программного обеспечения чрезвычайно широк. Вот некоторые примеры таких угроз защиты информации:

Внедрение вирусов и других разрушающих программных воздействий;

· Анализ и модификация/уничтожение установленного программного обеспечения;

· Внедрение программ-шпионов для анализа сетевого трафика и получения данных о системе и состоянии сетевых соединений;

· Использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированных прав чтения, копирования, модификации или уничтожения информационных ресурсов, а также нарушения их доступности;

· Раскрытие, перехват и хищение секретных кодов и паролей;

· Чтение остаточной информации в памяти компьютеров и на внешних носителях;

· Блокирование работы пользователей системы программными средствамии т.д.

1.3 Внутренние угрозы информационной безопасности

Большинство инцидентов информационной безопасности связано с воздействием внутренних угроз - утечки и кражи информации, утечки коммерческой тайны и персональных данных клиентов организации, ущерб информационной системе связаны, как правило, с действиями сотрудников этой организации. В классификации внутренних угроз в первую очередь можно выделить две большие группы - совершаемые из корыстных или других злонамеренных соображений, и совершаемые без злого умысла, по неосторожности или технической некомпетентности.

Итак, преступления сотрудников, способных причинить вред сохранности интеллектуальной и коммерческой собственности организации (их принято называть «инсайдерами») можно разделить на категории злонамеренного инсайда и непредумышленного инсайда. Злоумышленным инсайдером могут стать:

· Сотрудники, затаившие злобу на компанию-работодателя («обиженные»). Такие инсайдеры действуют исходя из мотивов личной мести, причин для которой может быть масса - от увольнения/понижения в должности до отказа компании предоставить статусные атрибуты, например, ноутбук или расширенный соцпакет.

· Нечистые на руку сотрудники, стремящиеся подзаработать за счёт компании-работодателя. Такими инсайдерами становятся сотрудники, использующие секретные информационные ресурсы компании для собственной выгоды. Базы данных клиентов, интеллектуальная собственность компании, состав коммерческой тайны - такая информация может использоваться инсайдером в личных интересах, либо продаваться конкурентам.

· Внедрённые и завербованные инсайдеры. Самый опасный и самый трудно-идентифицируемый тип внутренних злоумышленников. Как правило, являются звеном преступной цепочки или членом организованной преступной группы. Такие сотрудники имеют достаточно высокий уровень доступа к конфиденциальной информации, ущерб от их действий может стать фатальным для компании.

Злонамеренные инсайдеры представляют определённую опасность для информационной системы и конфиденциальных данных, однако вероятность злоумышленных инцидентов ничтожно мала по сравнению с утечками информации, совершаемыми по неосторожности или вследствие технической безграмотности сотрудников. Да, увы, это так - львиная доля всех инцидентов информационной безопасности на объекте любой сложности является следствием непредумышленных действий сотрудников. Возможностей для таких утечек информации множество: от ошибок ввода данных при работе с локальными сетями или интернетом до утери носителя информации (ноутбук, USB-накопитель, оптический диск); от пересылки данных по незащищённым каналам связи до непредумышленной загрузки вирусов с развлекательных веб-сайтов.

1.4 Метод защиты автоматизированной системы от угроз, относящихся к информационной безопасности

При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации. Такая градация доступа поможет систематизировать как возможные угрозы, так и меры по их нейтрализации и парированию, т. е. поможет систематизировать весь спектр методов обеспечения защиты, относящихся к информационной безопасности. Это следующие уровни доступа:

* уровень носителей информации;

* уровень средств взаимодействия с носителем;

* уровень представления информации;

* уровень содержания информации.

Введение этих уровней обусловлено следующими соображениями.

Во-первых, информация для удобства манипулирования чаще всего фиксируется на некотором материальном носителе, которым может быть дискета или что-нибудь подобное.

Во-вторых, если способ представления информации таков, что она не может быть непосредственно воспринята человеком, возникает необходимость в преобразователях информации в доступный для человека способ представления. Например, для чтения информации с дискеты необходим компьютер, оборудованный дисководом соответствующего типа.

В-третьих, как уже было отмечено, информация может быть охарактеризована способом своего представления: языком символов, языком жестов и т. п.

В-четвертых, человеку должен быть доступен смысл представленной информации, ее семантика.

К основным направлениям реализации злоумышленником информационных угроз относятся:

* непосредственное обращение к объектам доступа;

* создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

* модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;

* внедрение в технические средства АС программных или технических механизмов, нарушающих предполагаемую структуру и функции АС.

В табл. 1.1 перечислены основные методы реализации угроз информационной безопасности.

Таблица 1

Основные методы реализации угроз информационной безопасности

Уровень доступа к информации в АС

Угроза раскрытия параметров системы

Угроза нарушения конфиденциальности

Угроза нарушения целостности

Угроза отказа служб (отказа доступа к информации)

Уровень носителей информации

Определение типа и параметров носителей информации

Хищение (копирование) носителей информации

Перехват ПЭМИН

Уничтожение машинных носителей информации

Выведение из строя машинных носителей информации

Уровень средств взаимодействия с носителем

Получение информации о программно-аппаратной среде

Получение детальной информации о функциях, выполняемых АС

Получение данных о применяемых системах защиты

Несанкционированный доступ к ресурсам АС

Совершение пользователем несанкционированных действий

Несанкционированное копирование программного обеспечения

Перехват данных, передаваемых по каналам связи

Внесение пользователем несанкционированных изменений в программы и данные

Установка и использование нештатного программного обеспечения

Заражение программными вирусами

Проявление ошибок проектирования и разработки программно-аппаратных компонент АС

Обход механизмов защиты АС

Уровень представления информации

Определение способа представления информации

Визуальное наблюдение

Раскрытие представления информации (дешифрование)

Внесение искажения в представление данных; уничтожение данных

Искажение соответствия синтаксических и семантических конструкций языка

Уровень содержания информации

Определение содержания данных на качественном уровне

Раскрытие содержания информации

Внедрение дезинформации

Запрет на использование информации

Для достижения требуемого уровня информационной безопасности АС необходимо обеспечить противодействие различным техническим угрозам и минимизировать возможное влияние «человеческого фактора».

2. Системный подход к анализу информационными рисками предприятия

2.1 Системный подход к анализу информационной сферы предприятия

Сущность системного подхода может быть определена путем обобщения его свойств и характеристик:

· системный подход базируется на общей теории систем;

· основное внимание при использовании системного подхода уделяется выбору конечных целей использования системы и определению целей применения подсистем;

· при системном подходе все используемые методы и средства должны согласованно применяться в рамках единой методики для достижения поставленных целей процесса или системы;

· системный подход применяется для решения проблем, которые не могут быть поставлены и решены методами отдельных разделов математики;

· системный подход предполагает использование не только формальных методов, но и методов качественного анализа и синтеза, основанных на опыте и интуиции специалиста;

· системный подход позволяет объединять знания специалистов различных областей знаний;

· применение системного подхода может способствовать разработке новых методов исследования, если существующие методы не позволяют решить актуальную проблему;

· методология системного подхода предполагает представление системы или процесса в виде связанных подсистем (вложенных процессов) и их согласованного исследования для достижения конечных общих целей исследования системы (процесса);

· в соответствии с системным подходом в системе или процессе должны быть строго определены границы, а также входные и выходные связи (потоки) с внешней средой или внешними процессами;

· системный подход предполагает целостное представление и исследование системы или процесса, однако масштабы системы (процесса) и внешние связи (потоки) выбираются в соответствии с целями исследования.

Системный подход предполагает, прежде всего, выделение систем в соответствии с целями исследования и уровнем рассмотрения проблем. Для рассмотрения сущности информационных рисков предлагается выделить две взаимосвязанные системы: информационную систему предприятия (внутреннюю среду) и внешнюю среду.

С позиций системного анализа информационная система предприятия представляет собой открытую систему, образуемую множеством взаимосвязанных информационных элементов, которые обеспечивают получение, обработку, хранение и передачу необходимой информации в целях эффективного функционирования предприятия. В качестве информационных элементов следует рассматривать субъекты и объекты информационных процессов. К субъектам информационных процессов относятся сотрудники предприятия, имеющие отношение к получению, обработке, хранению и передаче информации. Объектами являются информационные ресурсы и материальные средства обеспечения информационного процесса предприятия.

Внешнюю информационную среду предприятия образуют объекты, субъекты, процессы и явления внешней среды, оказывающие влияние на элементы информационной системы предприятия и на информацию во внешней среде, имеющую отношение к предприятию, его бизнес-процессам.

Во внешней среде выделяются элементы двух типов. К элементам первого типа относятся объекты, субъекты, процессы и явления, которые оказывают влияние на информационную систему предприятия. Эти элементы в свою очередь могут быть разделены на две группы. Первую группу образуют элементы информационного взаимодействия с информационной системой предприятия. Такое взаимодействие определяется лишь информационными ресурсами и характером взаимодействия по обмену информацией. Примерами таких элементов могут служить средства массовой информации; партнеры по бизнесу; потребители продукции или услуг; государственные структуры; злоумышленники, использующие программные средства воздействия и т.д.

Ко второй группе относятся элементы внешней среды, которые оказывают неинформационное воздействие на элементы информационной системы предприятия (ИСП). Это природные явления; техногенные аварии; злоумышленники, оказывающие воздействие на материальные объекты информационной системы и другие элементы. Особенностью элементов этой группы является преимущественное одностороннее воздействие этих элементов на объекты информационной системы.

Объединение этих двух систем позволяет получить системный комплекс или мегасистему. Такую мегасистему и предлагается рассматривать как информационную сферу предприятия. Информационная сфера предприятия не может быть представлена в виде системы из-за наличия иррационального взаимодействия между информационной системой предприятия и внешней средой. Понятие иррациональности, под которым понимается наличие неупорядоченности, нецелесообразности, во взаимодействии систем.

На самом высоком уровне представления мегасистемы, с учетом целей исследования информационных рисков, понятие информационной сферы предприятия может быть сформулировано следующим образом. Под информационной сферой предприятия следует понимать взаимосвязанные элементы информационной системы предприятия и внешней информационной среды предприятия и систему регулирования отношений субъектов информационных процессов во внутренней и внешней среде предприятия. Таким образом, к информационной сфере предприятия относятся все элементы внутренней и внешней среды в их взаимодействии, имеющие отношение к получаемой, используемой, обрабатываемой, хранящейся и распространяемой информации, влияющей на бизнес-процессы предприятия.

Системный подход к управлению информационными рисками предполагает рассмотрение их причинно-следственных связей. Исследователи при изучении природы такого явления как экономический риск оперируют следующими понятиями: причины риска, факторы риска и собственно риск.

Под факторами риска понимаются условия, вызывающие риск или способствующие проявлению его причин. Понятие причины риска определяется в этой же работе следующим образом: «Результатом проявления причины риска будет нежелательное развитие событий, последствия которого приведут к отклонению от поставленной стратегической цели предприятия

Для уточнения терминологии обратимся к толковому словарю русского языка. В словаре эти понятия определены следующим образом:

· причина - "явление, вызывающее, обусловливающее возникновение другого явления";

· событие - "то, что произошло, то или иное значительное явление";

· фактор - "момент, существенное обстоятельство в каком-нибудь процессе, явлении".

Если следовать приведенным определениям, то применительно к понятию риска можно сделать следующие заключения:

1) причиной риска служит явление (событие), вызывающее, обуславливающее риск;

2) фактором риска называется состояние процесса или объекта, которое способствует реализации риска.

При исследовании информационных рисков необходимо анализировать причины их возникновения с такой глубиной, которая позволяет рассматривать всю цепочку причин, на которые предприятие имеет возможность влиять, или, по крайней мере, учитывать при анализе риска.

Рассматривая соотношение понятий "причина" и "фактор", необходимо отметить, что причина определяет внутренние источники активности процессов или объектов порождающих риски. Факторы же рассматриваются как обстоятельства, способствующие реализации рисков. Так при исследовании причин информационных рисков, связанных с таким информационным объектом как специалист, необходимо рассматривать мотивацию его поступков. Мотивация в свою очередь определяется целым рядом причин. Если специалист совершил злоумышленное деяние в отношении ИСП по корыстным мотивам, то для этого у него была причина, а возможно и целая цепочка причинно-следственных связей.

Факторы информационных рисков, в меньшей степени связаны с конкретными источниками риска, чем причины рисков. Они в основном отражают состояние ИСП в целом, и особенно состояние подсистемы противодействия информационным рискам. Понятию "фактор риска" близко понятие "уязвимость системы", которое используется в научных работах по защите информации. Факторы риска непосредственно связаны с информационной системой предприятия. Руководство предприятия может в полной мере влиять на факторы риска, снижая вероятность наступления рисковых событий в ИСП.

Анализ информационных рисков предполагает также исследование источников рисков. Под источником информационных рисков понимается субъект, объект, процесс или явление, в котором реализуются причины информационных рисков.

Источники порождают риски при определенных условиях, в силу определенных причин. Знание источника информационного риска является обязательным для определения причин негативных событий в ИСП.

Так, например, источником информационного риска может быть специалист предприятия. Причем, зная источник риска, мы можем сразу предположить, что порождаемый этим информационным объектом риск может быть непреднамеренным, случайным, или носить преднамеренный злоумышленный характер. Причинами непреднамеренных рисков могут быть события порожденные некомпетентностью, небрежностью, невнимательностью, усталостью, стрессом, склонностью к излишней разговорчивости, браваде и т.п.

Важность знания источника риска можно рассмотреть на примере все того же специалиста. Причины рисков практически не различаются для сотрудников разных специальностей. Но возможности по реализации того или иного информационного риска для специалистов различных категорий изменяются в очень широком диапазоне. Рядовой пользователь информационной системы имеет возможность нанести ущерб предприятию, прежде всего, в пределах своей компетенции. Значительно большую опасность представляют несанкционированные действия сотрудников информационного отдела и особенно службы безопасности.

Во многих работах для детального анализа источника риска предлагается создавать его модель. В зависимости от целей исследования и источника рисков выбирается способ моделирования и уровень детализации объектов и процессов.

Как правило, между информационными рисками существуют связи и взаимное влияние. Часть рисков является причинами других информационных рисков. Так стихийные бедствия могут порождать аварии или отказы технических средств. Другая часть рисков может создавать благоприятные условия для реализации иных информационных рисков, то есть являться факторами риска. Причем новые риски могут быть реализованы, а могут и не получить возможности реализоваться.

Схематично процесс воздействия информационных рисков на информационную систему предприятия представлен на Рис. 1. На рисунке показано, что рисковое событие может произойти, когда существуют одновременно причина и фактор риска. Штриховая линия указывает на возможность взаимного влияния рисков.

Размещено на http://www.allbest.ru/

2

Рис. 2 Схема воздействия информационных рисков на ИСП

2.2 Управление информационными рисками

Проведенный анализ причинно-следственной природы информационных рисков, позволяет определить сущность управления информационными рисками. Она заключается в согласованном воздействии на объекты и субъекты информационной сферы предприятия для устранения причин и факторов рисков с целью минимизации общей суммы, включающей ущерб от информационных рисков и затраты на управление этими рисками.

Управление информационными рисками организуется в соответствии с политикой управления информационными рисками предприятия. Политика разрабатывается под руководством первых лиц предприятия и принимается в качестве официального документа, который носит название "Программа управления информационными рисками предприятия". В программе приводятся:

· цели и задачи управления информационными рисками;

· особенности информационной системы и внешней системы предприятия, оказывающие влияние на условия управления информационными рисками;

· результаты анализа информационных рисков;

· основные научно-методические принципы создания, организации функционирования и развития системы управления информационными рисками;

· функции системы управления информационными рисками;

· порядок управления, мониторинга и аудита системы управления информационными рисками.

В соответствии с принятой политикой управления информационными рисками на предприятии создается система управления информационными рисками (СУИР).

Под системой управления информационными рисками (СУИР) понимается единый комплекс правовых норм, экономических и организационных мер, технических, программных и криптографических средств, а также информационных ресурсов, оказывающий воздействие на информационную сферу предприятия с целью обеспечения минимальных суммарных расходов на предотвращение информационных рисков и компенсацию ущерба от них.

Система управления информационными рисками является одной из подсистем информационной системы предприятия. Поэтому она должна создаваться на единых с ИСП научно-методических принципах построения сложных человеко-машинных систем.

Применительно к задаче построения системы управления информационными рисками предлагается использовать следующие научно-методические принципы:

· системный подход к построению системы;

· непрерывность функционирования системы;

· равнозащищенность всех звеньев;

· принцип многоуровневой защиты;

· адаптивность системы;

· централизованное иерархическое управление;

· дружественный интерфейс;

· открытость системы.

Системный подход к задаче создания системы управления информационными рисками предполагает:

· учет всех возможных информационных рисков;

· управление информационными рисками на всех жизненных циклах ИСП;

· управление информационными рисками во всех звеньях и на всех уровнях ИСП;

· учет взаимодействия с другими системами и внешней средой;

· комплексное согласованное использование методов и средств управления информационными рисками;

· использование методик создания и развития систем управления информационными рисками, направленных на достижение конечных целей применения таких систем.

При создании СУИР необходимо анализировать все возможные для конкретной ИСП виды информационных рисков. На основе полученной информации осуществляется выбор адекватных мер и средств предотвращения рисков или снижения вероятности их реализации, а также устранения последствий рисков.

За время своего существования информационная система предприятия и ее отдельные объекты проходят несколько этапов или жизненных циклов: создание, использование, модернизация, утилизация технических средств, ликвидация организационной структуры. Управление информационными рисками ведется на всех этапах постоянно, включая переходные периоды. Каждый из жизненных циклов имеет свои особенности, которые учитываются при организации управления информационными рисками.

Современная ИСП представляет собой многозвенную, многоуровневую систему. Информация получается, хранится, обрабатывается и передается в различных звеньях системы и в различных формах представления. На всем технологическом пути перемещения информации необходимо обеспечивать ее качество на должном уровне. По мере продвижения от источников к верхним уровням управления значимость информации возрастает, что и должно учитываться при создании СУИР.

При построении СУИР исследуются все объекты, с которыми взаимодействует ИСП, как внутри предприятия, так и за его пределами. Связи СУИР с другими объектами должны быть максимально структурированными и по возможности формализованы.

Достижение конечной цели разработки и использования СУИР - минимизации суммарных расходов на противодействие информационным рискам и на ликвидацию последствий рисковых событий в информационной сфере предприятия.

Система управления информационными рисками должна функционировать постоянно. Причем это относится не только к средствам управления, но и к органам управления информационными рисками.

Повышение эффективности системы управления информационными рисками достигается за счет создания многоуровневой защиты. Уровни защиты называются также рубежами защиты. Так, например, для защиты информации от несанкционированного доступа в автономной компьютерной системе могут использоваться следующие рубежи: рубеж контролируемой территории, рубеж здания, рубеж помещения, рубеж технического устройства, программный рубеж, рубеж информационного массива (базы данных).

Система управления информационными рисками должна обеспечивать устойчивость ИСП к воздействию информационных рисков. Требуемую устойчивость может обеспечить только адаптивная система. Для решения этой задачи информационной системе предприятия необходимо иметь определенную избыточность, которая позволяла бы выполнять следующие задачи:

· постоянный мониторинг системы;

· определение и локализация рисков;

· оценка последствий реализации риска;

· реконфигурация системы, включая и человеческие ресурсы;

· обеспечение функционирования системы в условиях реализованного риска, возможно и с ухудшенными характеристиками;

· восстановление объектов, поврежденных или утраченных ресурсов;

· обратная реконфигурация системы, для работы в штатном режиме;

· ликвидация последствий воздействия рисков на бизнес-процессы предприятия.

Естественно, что возможности любой адаптивной системы ограничены, и она может обеспечить работоспособность ИСП только в определенных границах. Возможны ситуации, когда системе наносится такой урон, при котором механизмы адаптации не могут компенсировать нанесенный ущерб.

Преимущество адаптивных систем перед другими системами, в которых достигается высокая живучесть, заключается в том, что они обеспечивают максимально возможное использование всех ресурсов в условиях отсутствия рисков

Одним из наиболее важных принципов, лежащих в основе построения СУИР, является создание централизованного иерархического управления.Иерархический принцип управления позволяет построить оптимальную систему, в которой исключены потоки информации не соответствующие уровню компетентности органа управления. На верхние уровни управления попадает информация прошедшая соответствующую обработку и обобщение на низших уровнях.

Централизация управления информационными рисками имеет и еще один аспект. Многие вопросы управления информационными рисками решаются на отраслевом и государственном уровне. Законы, стандарты и концепции, ведомственные руководящие документы и др. позволяют государству оказывать значительное воздействие на процессы управления информационными рисками на предприятиях с любым видом собственности.

Система управления информационными рисками предполагает выполнение сотрудниками определенных обязанностей, которые требуют регулярного и точного выполнения. Для решения этой проблемы СУИР должна обеспечивать дружественный интерфейс системы с сотрудниками предприятия. Под дружественным интерфейсом понимается безопасное и комфортное взаимодействие человека с системой, при котором достигается максимальная производительность.

Принцип открытости предполагает выбор такой архитектуры системы, которая позволяла бы наращивать возможности системы для парирования вновь появляющихся информационных рисков. Открытая система должна иметь некоторый запас ресурсов, которые могут быть использованы при модернизации системы. Блочный принцип построения с использованием стандартных интерфейсов и правильных конструктивных решений позволяют легко заменять блоки более мощными или подключать дополнительные блоки.

Системный подход к управлению информационными рисками позволяет выйти на качественно новый уровень управления. Представление информационной сферы предприятия в виде мегасистемы позволяет рассматривать проблему управления информационными рисками целостно.

Учитываются все негативные события, влияющие на безопасность и качество информации, которые могут произойти на всех этапах информационного процесса от получения информации до ее использования в бизнес-процессах. Появляется возможность согласованного применения всего комплекса механизмов управления во всех отраслях предприятия.

Архитектура информационной системы предприятия и, прежде всего, архитектура системы управления информационными рисками, должна быть адаптирована к управлению рисками на более высоком системном уровне. Развитие архитектуры информационной системы должно быть в первую очередь направлено на создание необходимых условий эффективного использования менеджерами предприятия организационных и экономических механизмов управления.

Заключение

В настоящее время существует множество видов угроз информации. Так как информация сейчас является одним из ключевых факторов успешного функционирования предприятия. Исходя из этого разрабатываются все новые и новые методы защиты информации и информационных систем. Необходимо понять что обеспечить полную защиту информации невозможно, но достигнуть приемлемого уровня защиты возможно при комплексном подходе к созданию системы защиты.

В проделанной курсовой работе представлен системный подход к анализу информационными рисками и построению систем управления информационными рисками и угрозами, а также пердложены методы к управлению данными додходами. Целостный взгляд на проблему управления информационными рисками основан на представлении информационной системы предприятия и его внешней среды в виде мегасистемы. Для достижения конечных целей бизнеса необходимы адаптация архитектуры информационной системы предприятия и активное участие менеджмента в управлении информационными рисками.

Список используемых источников

1. Завгородний В.И. Информация и экономическая безопасность

2. Ожегов С.И. Словарь русского языка. 14 - е изд. стереотип. М.: Русский язык, 1983. 813 с.

3. Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: АйТи-Пресс, 2004. 384 с.

4. Прангишвили И.В. Системный подход и общесистемные закономерности. Серия "Системы и проблемы управления". М.: СИНТЕГ, 2000. 528 с.

5. Разумов О.С. Системные знания: концепция, методология, практика / О.С. Разумов, В.В. Благодатских. М.: Финансы и статистика, 2006. 400 с.

6. Бирюков А.А. Информационная безопасность: защита и нападение. М.: ДМК Пресс, 2012. 476 с.: ил.

7. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах: учеб. пособие/ В.Ф. Шаньгин. М.: ИД «Форум»: Инфра - М, 2012. 592 с.: ил. (Высшее образование).

8. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин, - Москва: ДМК Пресс, 2012. 592 с.: ил.

9. 3. Методологические основы построения защищённых автоматизированных систем [Текст]: учеб. пособие / А.В.Душкин, О.В. Ланкин, С.В.Потехецкий [ и др.]; Воронеж. гос.ун -т инж. технол. Воронеж: ВГУИТ, 2013. 257 с.

10. Инструментальный контроль и защита информации [Текст]: учеб. пособие / Н.А. Свинарев, О.В. Ланкин, А.П. Данилкин [ и др.]; Воронеж. гос.ун -т инж. технол. Воронеж: ВГУИТ, 2013. 192 с.

11. М.А.Борисов, И.В.Заводцев, И.В.Чижов.Основы программно - аппаратной защиты информации: Учебное пособие. Изд.4-е, перераб. и доп. М.: ЛЕНАНД, 2015. 416 с.

12. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Управление рисками информационной безопасности. Учебное пособие для вузов. 2-е изд., испр. М.: Горячая линия. Телеком, 2014. 130 с.: ил.- Серия «Вопросы управления информационной безопасностью». Выпуск 2».

13. А.П.Курило, Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. Основы управления информационной безопасностью. Учебное пособие для вузов. 2-е изд., испр. М.: Горячая лингия. Телеком, 2014. 244с.: ил.- Серия «Вопросы управления информационной безопасностью. Выпуск 1».

14. Новиков В.К. Организационно - правовые основы информационной безопасности (защиты информации). Юридическая ответственность за правонарушения в области информационной безопасности (защиты информации). Учебное пособие. М.: Горячая линия - Телеком, 2015. 176 с.: ил.

15. Бузов Г.А. Защита информации ограниченного доступа от утечки по техническим каналам. М.: Горячая линия - Телеком,2016. 586 с., ил.

16. Достаточно общая теория управления. Постановочные материалы учебного курса факультета прикладной математики - процессов управления Санкт - Петербургского государственного университета (1997 - 2004 г.г.). М.: Концептуал, 2014г. 416 с.

17. Митник К. Искусство обмана: Пер. с англ. Груздева А.А., Семенова А.В. М.: Компания АйТи, 2004. 360 с.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.