Информационная безопасность

ЛИПЕЦКИЙ ЭКОЛОГО-ГУМАНИТАРНЫЙ ИСТИТУТ

КАФЕДРА МЕНЕДЖМЕНТА

 

 

 

 

 

 

 

 

 

 

 

 

 

КОНТРОЛЬНАЯ РАБОТА

 

 ПО ДИСЦИПЛИНЕ: «Безопасность  бизнеса»

НА темУ: «Информационная безопасность»

 

 

 

 

 

 

 

                                                                       

                                                                         Выполнила: Махорина Н.А.

                                                                         Студентка группы ЭС-09

                                                                         № зачётной книжки

                                                                         Проверила: доцент

                                                                                             Гридчина Н.Е.

                    

 

 

 

 

 

 

 

 

Липецк 2012

 

 

Содержание

 

1. Введение

2. Информация, которую необходимо защищать

3. От кого следует оберегать информацию?

4. Защита информации

5. Заключение 

6. Литература 

 

 

 

 

 

Введение

 

На сегодняшний день проблема обеспечения безопасности является одной из самых актуальных в бизнесе. Однако зачастую, под обеспечением безопасности понимается только физическая охрана персонала и материальных ценностей. Но таким способом можно противостоять только криминалу. Между тем, вступая в рыночные отношения, любая организация сталкивается с острой конкурентной борьбой, существующей на любом цивилизованном рынке. И эта борьба таит в себе немало опасностей для предприятия. Если компания достигла каких-либо успехов в своём бизнесе, можно не сомневаться в том, что она вызывает немалый интерес со стороны компаний-конкурентов. Любая информация о работе фирмы будет привлекать повышенное внимание с их стороны. Поэтому защита информации становится важнейшей частью современной системы безопасности бизнеса.

“Кто владеет информацией, тот владеет миром”. Эта истина становится особенно актуальной на пороге XXI века, когда на смену постиндустриальной эпохе приходит информационная эпоха. В новом веке вопрос информационной безопасности бизнеса становится ещё более значимым.

Цель данной работы – рассмотреть сущность информационной безопасности в бизнесе.

В соответствии с указанной  целью были поставлены следующие  задачи:

• определить виды и источники информации, которые следует защищать;
• выявить объекты, для которых составляет интерес чужая информация;
• раскрыть методы защиты информации.

 

Информация, которую необходимо защищать

 

Для того чтобы разобраться  в проблеме защиты информации ответим  на три вопроса:

• Какую информацию нам необходимо защищать?
• От кого и чего нам необходимо её защищать?
• Каким образом нам необходимо осуществлять защиту информации?

Итак, какую же информацию нам необходимо защищать? От того, насколько  правильно мы определим ответ  на этот вопрос, главным образом  зависит эффективность нашей  системы защиты информации. В первую очередь необходимо защищать информацию:¹

• о тех конкурентных преимуществах, которыми владеет компании
• о технологиях её работы
• о движении денежных и материальных потоков компании
• о стратегических планах компании
• о новых продуктах.

В зависимости от характера  деятельности компании список объектов информационной защиты может быть расширен. Так, большинству компаний есть смысл хранить в тайне от конкурентов также информацию:²

• о своих клиентах,
• о персонале компании.

Важно понять, что предприятие  должно оберегать далеко не всю информацию, которой оно владеет, а лишь ту, использование которой третьими лицами может нанести ущерб деятельности компании. Напротив, существует и такая информация, которую компании просто необходимо разглашать. Так, нет никакого смысла оберегать от конкурентов информацию о наших ценах. А вот информацию о ценах и условиях, на которых мы приобретаем продукцию, сырьё и материалы необходимо хранить в тайне от конкурентов. Излишняя закрытость компании может стать причиной негативного отношения к ней со стороны потенциальных партнёров, клиентов и инвесторов. Особенно это касается фирм, планирующих проводить размещение своих ценных бумаг. Для того чтобы этого не произошло, компания должна изначально определить, какую информацию, в каком объёме и с какой регулярностью ей следует раскрывать. При этом можно ориентироваться на западные стандарты раскрытия информации. Эти же стандарты установила и Федеральная комиссия по рынку ценных бумаг для компаний, осуществляющих размещение ценных бумаг. К информации, обязательной для раскрытия, относятся:³

• ежегодная бухгалтерская отчётность (баланс, отчёт о прибылях и убытках, отчёт о движении денежных средств)
• данные об акционерах
• данные о существенных операциях с акционерным капиталом.

Что же касается той информации, которая не подлежит разглашению, то организация должна классифицировать её по степени секретности и выработать нормы информационной безопасности для каждой категории.

От кого следует оберегать  информацию?

 

В своей деятельности предприятие сталкивается с различными организациями, составляющими её окружение. Это:⁴ компании-конкуренты, клиенты, партнёры, налоговые органы, регулирующие органы.

Как уже отмечалось выше, особый интерес к различного рода информации проявляют конкуренты. И  именно их действия таят в себе наибольшую опасность для компании. Ведь доля рынка, которую занимает компания, всегда является лакомым куском для конкурентов, и ущерб от утечки разного рода информации, например, о характеристиках готовящегося к выпуску продукта, может оказаться невосполнимым.

Что касается партнёров, то их интерес по отношению к информации о вашей компании, может быть вызван, прежде всего, соображениями собственной  безопасности. Поэтому необходимо создать  наиболее благоприятные условия  для получения ими информации о компании, не выходящей за рамки необходимой для плодотворного сотрудничества. Здесь необходимо чётко определить, какая это информация, с тем, чтобы своевременно и в полном объёме предоставлять её и ограничить доступ к иной информации.

Информация, которую хотят получить клиенты, носит совершенно определённый характер. Это:⁵общие сведения о компании и предлагаемой ею продукции, данные о надёжности компании, информация о ценах.

В отношении клиентов важно обеспечить максимальную доступность  такой информации. Говоря о защите информации, следует понимать, что нежелательным был бы “вынос сора из избы”. Впрочем, то же самое касается и отношений с партнёрами. Поэтому особенно важно чётко определить, какая внутрифирменная информация не может подлежать разглашению.

Отношения компании с налоговыми и регулирующими органами носят специфический характер. Эти органы предъявляют свои особые требования к предоставлению им информации. В отношениях с ними важно полностью соблюдать предъявляемые ими требования, предоставлять информацию своевременно и в требуемом объёме, но не превышая этот объём. В данном случае как недостаток, так и избыток предоставляемой информации может привести к самым нежелательным последствиям.

Следующим важным вопросом является понимание того, от чего следует оберегать информацию. Нежелательными действиями, которые могут быть осуществлены с информацией, составляющей тайну организации, являются:⁶уничтожение важной информации, искажение открытой информации, овладение секретной информацией, копирование конфиденциальной электронной информации, закрытие или ограничение доступа к информации, необходимой компании, несанкционированный доступ к информации с ограниченным доступом.

Прежде, чем рассмотреть  меры по защите информации, остановимся  на том, какие средства и методы могут быть использованы для получения необходимой информации о компании. Существует две большие группы средств и методов экономической разведки или промышленного шпионажа:⁷

• методы сбора информации с применением специальной техники
• методы фрагментарного сбора информации.

К промышленному шпионажу, связанному с применением специальной  техники, относятся:⁸

• прослушивание телефонных разговоров
• прослушивание помещений
• телевизионное наблюдение
• слежка
• вторжение в компьютерную сеть
• считывание информации с мониторов.

Все эти методы весьма трудоёмки и дорогостоящи, и могут  применяться только крупными конкурентами и силовыми структурами. Осуществление  таких действий под силу лишь профессионалом, что делает подобные действия особенно опасными.

К методам фрагментарного сбора информации относятся:⁹

• Телефонная разведка. Многие сведения о фирме можно получить по телефону, позвонив под каким-либо благовидным предлогом, например для установления деловых контактов или проведения статистического опроса. Если персонал компании не достаточно осведомлён о том, какую информацию не следует разглашать, то вы рискуете допустить утечку важной информации, сами того не подозревая.
• Лжепереговоры. Пользуясь этим очень распространённым методом, ваши конкуренты могут представиться, например, вашими потенциальными клиентами или партнёрами и во время предварительных переговоров получить множество интересующей их информации в случае, если вы не подвергнете их предварительной проверке и будете излишне открыты по отношению к ним. Особенно благодатной почвой для получения такого рода информации являются различные выставки.
• Переманивание сотрудников. Приглашение специалистов компании-конкурента на работу порой позволяет очень многое узнать о его деятельности. Даже, если человек из соображений порядочности не будет выдавать информацию, являвшуюся тайной на его предыдущем месте работы, по его знаниям, привычкам, поведению можно сделать многочисленные выводы о работе компании-конкурента. Некоторые компании практикуют и “лжепереманивание” сотрудников, завлекая их высоким уровнем зарплаты. На многочисленных собеседованиях и интервью они могут узнать многое о его компании, при этом новое место работы он так и не получит.
• Внедрение в штат конкурента собственных сотрудников. Этот метод промышленного шпионажа наиболее опасен, поскольку, внедрив своего человека в чужую команду, можно узнать о компании любую информацию, находящуюся в компетенции этого сотрудника. А если компания не предпринимает мер по разграничению доступа к внутренней информации, то рядовому сотруднику может быть известно о компании практически всё.

ПЯТЬ ОСНОВНЫХ ТЕХНОЛОГИЙ, ИСПОЛЬЗОВАВШИХСЯ ПРИ СОВЕРШЕНИИ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Мошенничества

1. Ввод неавторизованной информации
2. Манипуляции разрешенной для ввода информацией
3. Манипуляции или неправильное использование файлов с информацией
4. Создание неавторизованных файлов с информацией
5. Обход внутренних мер защиты

Злоупотребления

1. Кража компьютерного времени, программ, информации и оборудования
2. Ввод неавторизованной информации
3. Создание неавторизованных файлов с информацией
4. Разработка компьютерных программ для неслужебного использования
5. Манипулирование или неправильное использование возможностей по проведению работ на компьютерах

С другой стороны стоит  рассмотреть основные методы, использовавшиеся для их совершения. Они включают:

1. Надувательство с данными. Наверное, самый распространенный метод при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.
2. Сканирование. Другой распространенный метод получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы, и украдены. Очень хитрый сканирующий может даже просматривать остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления своих файлов.
3. Троянский конь. Этот метод предполагает, что пользователь не заметил, что компьютерная программа была изменена таким образом, что включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы(возможности пользователя, запустившего программу, по доступу к файлам)
4. Люк. Этот метод основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число транзакций, обработанных в определенный день, вызовет запуск неавторизованного механизма.
5. Технология салями Названа так из-за того, что преступление совершается понемногу, небольшими частями, настолько маленькими, что они незаметны. Обычно эта технология сопровождается изменением компьютерной программы. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника.
6. Суперотключение. Названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.