Защита информации в экономических информационных системах

     Введение 

     Актуальность  проблемы защиты информации связана  с ростом возможностей вычислительной техники. Развитие средств, методов  и форм автоматизации процессов  обработки информации, массовость применения ПЭBM резко повышают уязвимость информации.

     Потребность в обеспечении безопасности связана  с тем, что существует множество  субъектов и структур, весьма заинтересованных в чужой информации и готовых  заплатить за это высокую цену. А ведь существуют и, соответственно, приобретаются устройства для несанкционированного доступа к информации и по другим каналам: проникновение в информационные системы, перехват и дешифровка сообщений  и т.д.

     Целью данной работы является обоснование  необходимости защиты информации в  экономических информационных системах, подробный анализ организации системы  защиты информации в экономических  информационных системах и ее эффективности.

     Для достижения поставленной цели необходимо решить следующие задачи: изучить  теоретические  аспекты защиты информации в экономических информационных системах, исследовать определение  понятия угрозы информационной безопасности в экономических информационных системах, рассмотреть основные способы  реализации угроз, привести вариант  их классификации, проанализировать современные  методы и средства защиты информации в экономических информационных системах и оценить их эффективность, а также рассмотреть основные принципы и этапы создания системы защиты информации экономических систем.  
 
 
 
 
 
 
 
 
 
 
 
 

     Глава 1. Организационно-экономическая сущность задачи 

     Проблема  защиты информации представляет собой  совокупность тесно связанных проблем  в областях права, организации управления, разработки технических средств, программирования и математики.

     Любой системе управления экономическим  объектом соответствует экономическая информационная система (ЭИС) или совокупность внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управляющих решений.¹

     Согласно  ФЗ «Об информации, информатизации и защите информации», принятому  в феврале 1995 г., информационная система  – это организационно упорядоченная  совокупность документов (массивов документов) и информационных технологий, в том  числе с использованием средств  вычислительной техники и связи, реализующих информационные процессы (процессы сбора, обработки, накопления, хранения, поиска и распространения  информации).²

     В связи с большим количеством  функциональных особенностей для ЭИС  может быть выделено множество различных  классификационных признаков. Так, в соответствии с уровнем применения и административным делением можно  различать ЭИС предприятия, района, области и государства.

     В экономике с учетом сферы применения выделяются:

     • банковские информационные системы;

     • информационные системы фондового  рынка;

     • страховые информационные системы;

     • налоговые информационные системы;

     • информационные системы промышленных предприятий и организаций (особое место по значимости и распространенности в них занимают бухгалтерские  ИС);

     • статистические информационные системы  и др.

     ЭИС накапливает и перерабатывает поступающую  учетную информацию и имеющиеся  нормативы, и планы в аналитическую  информацию - основу для прогнозирования  развития экономической системы, корректировки  ее целей и создания планов для  нового цикла воспроизводства.

       К обработке информации в ЭИС предъявляются следующие требования:

     1. полнота и достаточность информации для реализации функций управления

     2. своевременность предоставления информации

     3.соответствие уровню управления

     4.обеспечение достоверности информации

     5.экономичность обработки информации - затраты на обработку не должны превышать получаемый эффект

     6.адаптивность к изменяющимся информационный потребностям пользователей.

     Само  понятие информационной безопасности имеет смысл только для тех  систем, в которых эта проблема существовала и до их автоматизации. До применения компьютерных технологий в любой организации, для которой  безопасность информации имела определенное значение, был установлен определенный порядок работы с информацией (например, система работы с секретными документами  Министерства Обороны), регламентирующий информационные потоки внутри организации  и обмен информацией с внешним  миром. Этот порядок включал схему  информационных потоков внутри организации, а также процесс управления потоками информации в соответствии с набором правил.

     Решение этой задачи осуществляется последовательным осуществлением следующих действий:

1. Определение механизма, выражающего заданную схему информационных потоков и правил управления ими.
2. Построение модели безопасности, отражающей заданный порядок обработки информации, и формальное доказательство ее безопасности.
3. Реализация системы обработки информации в соответствии с предложенной моделью.

       В ходе осуществления данной последовательности действий разработчики сталкиваются с такими проблемами, как неполнота информации, сложность применения на практике разработанных концепций, необходимость добавления и удаления компонентов в систему, что может привести к расхождениям с установленной моделью безопасности и др.

     Однако, совершенно очевидно, что контроль доступа к объектам

системы имеет ключевое значение для обеспечения защиты информации и безопасности всей системы в целом.

     Поэтому в процессе обеспечения информационной безопасности любой экономической  системы крайне важен процесс  выявления угроз безопасности, возможных  каналов утечки информации и путей несанкционированного доступа к защищаемым данным, а также разработка действенных и экономически-эффективных мер предупреждения и устранения влияния данных факторов. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Глава 2. Основные виды угроз  безопасности экономических  информационных систем. 

     2.1. Информационные угрозы.

     Под угрозой безопасности информации (информационной угрозой) понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

     Если  ценность информации теряется при ее хранении и/или распространении, то реализуется угроза нарушения конфиденциальности информации. Если информация изменяется или уничтожается с потерей ее ценности, то реализуется угроза целостности информации. Если информация вовремя не поступает легальному пользователю, ценность ее уменьшается и со временем полностью обесценивается, т.е. реализуется угроза оперативности использования или доступности информации.

     Итак, реализация угроз информационной безопасности заключается в нарушении конфиденциальности, целостности и доступности информации.

     Информационные  угрозы могут быть обусловлены:

     - естественными факторами (стихийные  бедствия – пожар, наводнение,

     ураган, молния и другие причины);

     - человеческими факторами. Они,  в свою очередь, подразделяются

     на:

     – угрозы, носящие случайный, неумышленный характер, т.е. угрозы,

     связанные с ошибками процесса подготовки, обработки  и передачи информации; с нецеленаправленной «утечкой умов», знаний, информации (например, в связи с миграцией населения, выездом в другие страны, для воссоединения  с семьей и т.п.); с ошибками процесса проектирования, разработки и изготовления систем и их компонент; с ошибками в работе

     аппаратуры  из-за некачественного ее изготовления; с ошибками процесса подготовки и  обработки информации и т.д.

     – угрозы, обусловленные умышленными, преднамеренными действиями людей, т.е.  угрозы, связанные с передачей, искажением и уничтожением научных  открытий, изобретений секретов производства, новых технологий по корыстным и  другим антиобщественным мотивам; с  подслушиванием и передачей служебных  и других научно-технических и  коммерческих разговоров; с целенаправленной "утечкой умов", знаний информации (например, в связи с получением другого гражданства по корыстным  мотивам) и т.д.

     Умышленные  угрозы преследуют цель нанесения ущерба пользователям АИС и, в свою очередь, подразделяются на активные и пассивные.

     Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на их функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах связи, посредством их прослушивания.

     Активные  угрозы имеют целью нарушение нормального процесса функционирования системы посредством целенаправленного воздействия на

     аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя ПЭВМ или ее операционной системы, искажение  сведений в базах данных либо в  системной информации и т.д. Источниками  активных угроз могут быть непосредственные действия злоумышленников, программные  вирусы и т.п.

     Умышленные  угрозы также подразделяются на внутренние  (возникающие внутри управляемой организации) и внешние.

     Внутренние  угрозы чаще всего определяются социальной напряженностью и тяжелым моральным  климатом.

     Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например,

     стихийными  бедствиями).

     К основным угрозам безопасности относят:

     - раскрытие конфиденциальной информации;

     - компрометация информации;

     - несанкционированное использование  информационных ресурсов;

     - ошибочное использование ресурсов; несанкционированный обмен

     информацией;

     - отказ от информации;

     - отказ от обслуживания.

     Средствами  реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов и т.п.

     Реализация  угроз является следствием одного из следующих действий и событий:

     -разглашение  конфиденциальной информации,

     -утечка  конфиденциальной информации 

     -несанкционированный  доступ к защищаемой информации.

     Разглашение информации ее владельцем или обладателем – есть умышленные или неосторожные действия должностных лиц и пользователей, которым соответствующие сведения в установленном порядке были доверены по службе или по работе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.

     Утечка  конфиденциальной информации – это бесконтрольный выход

     конфиденциальной  информации за пределы ИС или круга  лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:

     - разглашения конфиденциальной информации;

     - ухода информации по различным,  главным образом, техническим  каналам;