- •1 Аналитический раздел 5
- •2 Практический раздел 26
- •3 Экономический раздел 75
- •4 Экология и охрана труда 83
- •Введение
- •Аналитический раздел
- •Информационная безопасность. Определение, основные понятия
- •Общая характеристика платежной системы visa
- •Угрозы, характерные для финансово-кредитных организаций
- •Практический раздел
- •Мероприятия по защите информационной структуры центра авторизации платежных карт
- •Структура цапк и методы обеспечения информации
- •Мероприятия по повышению защищенности информационной системы
- •Методы защиты информации при ее передаче между удаленными рабочими местами и центральным офисом банка Ренессанс Кредит
- •- По типу используемой среды
- •- По способу реализации
- •- По назначению
- •- По типу протокола
- •- По уровню сетевого протокола
- •Система защиты информационной системы цапк
- •Организационные меры по обеспечению информационной безопасности
- •Политики безопасности
- •Организационные меры
- •Кадровая политика
- •Экономический раздел
- •Введение
- •Организация и планирование работ
- •Смета затрат на разработку
- •Расчет стоимости эксплуатации ис
- •Оценка экономической эффективности
- •Экология и охрана труда
- •Цель и решаемые задачи
- •Опасные и вредные факторы при работе с пэвм
- •Эргономические решения по организации рабочего места пользователей пэвм
- •Обеспечение электробезопасности
- •Обеспечение пожаробезопасности
- •Заключение
Аналитический раздел
Информационная безопасность. Определение, основные понятия
Любой вид деятельности человека можно представить как процесс, в результате которого появляется продукт, материальный или интеллектуальный, имеющий определенную ценность, то есть стоимость. Информация является одной из разновидностей таких ценностей, стоимость ее может оказаться настолько высокой, что ее потеря или утечка, даже частичная, способна поставить под вопрос само существование компании. Поэтому защита информации с каждым днем приобретает все большее значение, практически во всех более или менее крупных организациях существуют свои подразделения, выполняющие задачу по обеспечению информационной безопасности компании.
Понятие "Система информационной безопасности" складывается из трех терминов - система, информация и безопасность. Следовательно, для правильного восприятия и понимания того, чем является "Система информационной безопасности", необходимо дать определение и пояснение каждому термину.
Система - это набор устремленных к достижению общих целей и функционирующих как единое целое, взаимосвязанных элементов или частей.
В сфере информационной безопасности этими элементами или составными частями будут специальные организации или подразделения в составе организации, осуществляющие деятельность в сфере информационной безопасности.
Информация - в переводе с латинского - ознакомление, разъяснение, изложение.
С.И. Ожегов дает два определения информации:
1. сведения об окружающем мире и протекающих в нем процессах; Здесь информация рассматривается как категория, не предполагающая каких либо действий, достаточно наличия сведений в каком либо виде. 2. сообщения, осведомляющие о положении дел, о состоянии чего-либо. Здесь информация опять рассматривается как категория действия - необходимо действие по передаче сведений. Примерно с середины ХХ века понятие информации становится общенаучным и трактуется, как включающее обмен сведениями:
- между людьми;
- человеком и автоматом;
- автоматом и автоматом;
- обмен сигналами в животном мире;
- передачу признаков от клетки к клетке, от организма к организму.
Информация опять рассматривается как категория действия - необходимо действие по обмену сведениями и сигналами, по передаче признаков, но, в отличие от предыдущих определений, подразумевающих участие в действиях только человека, здесь расширяется круг участников этого действия. Это автоматы, животные, организмы и клетки. Так что же все-таки такое информация? На сегодняшний день нет однозначного ответа на этот вопрос. Есть приверженцы как "идейной", так и "материальной" точки зрения на понятие информации. Третья точка зрения, не приближаясь ни к первой, ни ко второй, объединяет их в том смысле, что информация рождается только при наличии обоих факторов, как идеи, так и материи.
В различных сферах деятельности человек пользуется различными определениями понятия информации, в сфере информационной безопасности в России на сегодняшний день используется определение данное в Законе РФ "Об информации, информатизации и защите информации". Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления. Безопасность - это состояние защищенности (отсутствие опасности, "без опасности") от внутренних и внешних угроз жизненно важных интересов:
- личности;
- предприятия;
- государства.
Здесь мы видим перечень субъектов защиты, которыми оперирует понятие безопасность.
«Информационная безопасность» — это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств" (Закон РФ "Об участии в международном информационном обмене"). При рассмотрении термина "Система информационной безопасности" не обойтись без понимания целей, преследуемых этой системой. Очевидно, исходя из определения безопасности, это будет противодействие внутренним и внешним угрозам жизненно важных интересов субъекта безопасности. Таким образом, на основе вышеизложенного попытаемся сформулировать определение системы информационной безопасности.
Система информационной безопасности - это функционирующая как единое целое совокупность организаций, используемых этими организациями в своей деятельности средств, проводимых ими в рамках своей деятельности мероприятий, и применяемых ими при проведении мероприятий методов, устремленная на ликвидацию внутренних и внешних угроз жизненно важным интересам субъекта безопасности, создание, поддержание и развитие состояния защищенности его информационной среды.
Понятие "информация" сегодня употребляется весьма широко и разносторонне. Наверное, невозможно найти такую область деятельности человека, где бы оно не использовалось. Информационные потоки огромны, скорость их нарастает каждодневно, они буквально захлестывают людей. Объем научных знаний, не говоря о прочих, скорость которых несоизмеримо выше, по оценке специалистов удваивается, каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком теории и практики информации — информационным веком, что в свою очередь обуславливает переход человечества от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество, и которые при необходимости могут быть использованы для достижения конкретных целей хозяйственной деятельности. Маркс определил в свое время три важных для общества ресурса - труд, земля и капитал. В современном понимании - это людские (кадры) ресурсы, материальные и финансовые ресурсы. К ним добавились, ресурс времени, которого с каждым днем все более не хватает в любой области деятельности человека, и информационный ресурс, важность которого трудно переоценить, в связи с тем, что обладание им во многих случаях компенсирует недостаток других ресурсов. Например, обладание информацией о современных технологиях позволяет наладить производство какого-либо продукта с меньшими трудозатратами (привлекая меньшее количество людских ресурсов), ускоренными темпами (потребляя меньшее количество ресурса времени), в большем количестве на единицу используемого сырья (уменьшая расход материальных ресурсов на единицу продукции). Тем самым уменьшаются издержки на производство этой продукции и финансовые ресурсы, привлекаемые для этого производства. И, как следствие, появляется возможность увеличить свои прибыли. Понятие "информационные ресурсы" уже узаконено, но осознано пока еще недостаточно.
Себестоимость информации определяется количеством, затраченной на ее производство, энергии (умственных усилий), финансовых и материальных затрат на ее документирование, хранение, обеспечение сохранности, обработку и передачу по каналам связи. Цена информации, как и остальных товаров, складывается из себестоимости и величины прибыли от ее реализации. Реализация информации с извлечением прибыли может происходить в результате следующих действий:
- продажа информации;
- материализация произведенной или приобретенной (купленной) информации в продукте или технологии;
- использование информации в процессе принятия решения.
Как видно из вышеизложенного, информация обладает свойствами товара, и, следовательно, как и любой товар, она может участвовать в товарообороте и являться объектом права, иметь производителя, собственника, владельца и потребителя. С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект. С точки зрения обладателя — сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Особое место отводится информационным ресурсам в условиях рыночной экономики. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. На сегодняшний день примерно 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа. А в 60% случаев утери лишь 20% имеющейся коммерческой информации приводила к банкротству фирм. Вывод напрашивается сам. Защите информации от неправомерного овладения ею, необходимо отводить весьма значительное место. И здесь не обойтись разовыми мерами, будь то эпизодические мероприятия, частичное использование средств защиты или привлечение некоторых специалистов по защите информации. Необходим четко продуманный, качественно спланированный и профессионально проводимый комплекс мер по защите информации. Необходима грамотно и профессионально отлаженная система информационной защиты. И чем раньше это будет воспринято предпринимателем, бизнесменом, руководителем фирмы, тем дешевле ему обойдется создание системы информационной безопасности. С развитием рыночных отношений в России и перехода от индустриального общества к информационному, цены на услуги по качественной защите информации несоизмеримо возрастут. Ибо основным правилом ХХI века уже является: кто владеет информацией, тот владеет миром.
Общеизвестно, что создать абсолютно надежную систему защиты невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому можно говорить только о некотором достаточном уровне безопасности, обеспечении такого уровня защиты, когда стоимость ее преодоления становится больше стоимости получаемой при этом информации (достигаемого эффекта), или когда за время получения информации она обесценивается настолько, что усилия по ее получению теряют смысл.
Все известные меры защиты компьютерных систем подразделяются на: законодательные, морально - этические, административные, физические и технические (аппаратурные и программные). Наилучшие результаты достигаются при системном подходе к вопросам безопасности компьютерных систем и комплексном использовании различных методов и средств их защиты на всех этапах жизненного цикла систем. Защищать компоненты АС необходимо от всех видов воздействий: стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и пользователей, ошибок в программах и от преднамеренных действий злоумышленников.
Система защиты должна строиться эшелонированно в виде концентрических колец безопасности. Самое внешнее кольцо безопасности обеспечивается морально-этическими и законодательными средствами (неотвратимость возмездия за совершенное деяние). Второе кольцо безопасности представлено физическими и организационными средствами - это внешняя защита системы (защита от стихийных бедствий и внешних посягательств). Внутренняя защита (защита от ошибочных и умышленных действий со стороны персонала и законных пользователей) обеспечивается на уровне аппаратуры и операционной системы и представлена линией обороны, исключающей возможность работы посторонних с системой (механизм идентификации и аутентификации), и кольцами защиты всех ресурсов системы от неавторизованного использования (механизм разграничения доступа в соответствии с полномочиями субъекта).
Опыт создания систем защиты позволяет выделить следующие основные принципы построения систем компьютерной безопасности, которые необходимо учитывать при их проектировании и разработке:
системность подхода;
комплексность решений;
непрерывность защиты;
разумная достаточность средств защиты;
простота и открытость используемых механизмов защиты;
·минимум неудобств пользователям и минимум накладных расходов на функционирование механизмов защиты.
При построении конкретных систем компьютерной безопасности необходимо руководствоваться основными принципами организации защиты: системностью, комплексностью, непрерывностью защиты, разумной достаточностью, гибкостью управления и применения, открытостью алгоритмов и механизмов защиты и простотой применения защитных мер и средств, а также придерживаться рекомендаций, полученных на основе опыта предыдущих разработок.
На основе важности информации ей присваивается категория, важность же в свою очередь определяется ущербом, который может понести организация в результате утраты данной информации.
Часто размер ущерба оценивают по трехбалльной шкале как низкий, умеренный и высокий.
Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:
организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;
активам организации наносится незначительный ущерб;
организация несет незначительные финансовые потери;
персоналу наносится незначительный вред.
Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:
компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;
активам организации причиняется значительный ущерб;
компания несет значительные финансовые потери;
персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.
Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:
компания теряет способность выполнять все или некоторые из своих основных функций;
активам организации причиняется крупный ущерб;
организация несет крупные финансовые потери;
персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.