- •Змістовий модуль 2. Інформаційна безпека як вагома складова економічної безпеки держави
- •Змістовий модуль 1. Концептуально-методологічні засади економічної безпеки держави
- •Тема 1. Концептуальні основи безпеки як категорії у науці
- •1.1. Генезис поняття безпека
- •1.1. Генезис поняття безпека
- •1.2. Національна безпека держави та її складові
- •1.3. Об’єкти та суб’єкти національної безпеки України
- •1.4. Принципи забезпечення національної безпеки. Пріоритети національних інтересів України
- •Пріоритетами національних інтересів України є:
- •Сутність та структура поняття економічної безпеки держави
- •Існує здатність гнучко реагувати на адміністративні зміни в країні (структурна переорієнтація галузей промисловості та апк на розвиток інноваційної моделі економічного зростання);
- •2.2. Національні економічні інтереси та критерії економічної безпеки
- •2.3. Чинники та загрози економічній безпеці держави
- •Оцінка рівня економічної безпеки держави
- •Рівень економічної безпеки (екб) держави досліджують через систему критеріїв та статистичних показників (індикаторів екб).
- •3.2. Теоретичні підходи до визначення рівня економічної безпеки
- •3.3. Індикативний аналіз, як один з найефективніших методів визначення рівня економічної безпеки
- •3.4. Оцінка порогових рівнів по індикаторах економічної безпеки
- •3.5. Моніторинг економічної безпеки держави
- •Змістовий модуль 2. Інформаційна безпека як вагома складова економічної безпеки держави
- •Теоретичні аспекти інформаційної безпеки
- •4.2. Класифікація і характеристика різних видів інформації
- •4.3. Джерела загроз інформаційної безпеки
- •Інформаційна безпека як індикатор економічної безпеки держави
- •5.2. Система управління інформаційною безпекою
- •5.3. Комплексні проблеми інформаційної безпеки
- •5.4. Методи забезпечення захисту інформації
- •5.5. Напрямки та шляхи покращення інформаційної безпеки
- •Специфіка особливостей захисту інформації в сучасних трансформаційних умовах
- •6.2. Організаційно-економічні заходи служби захисту інформації
- •6.3. Специфіка технічного захисту інформації
- •6.4. Особливості захисту електронної корпоративної інформації
- •6.5. Особливості захисту інформації в різних сферах діяльності
- •6.6. Особливості захисту інформації під час розслідування кримінальних справ
- •Економічний механізм електронної комерції
- •7.2. Загальні принципи та передумови е-комерції в Україні
- •7.3. Використання пластикових карт у е-комерції
- •7.4. Віртуальний гаманець покупця—vWallet
- •7.5. Віртуальний платіжний термінал продавца—vPos
- •7.6. Шлюз із фінансовими системами—vGate
6.2. Організаційно-економічні заходи служби захисту інформації
Важливе місце в системі організації робіт із забезпечення безпеки інформації на підприємствах займають служби захисту інформації (СЗІ).
Основним завданням СЗІ є:
організація робіт з виявлення можливостей і попередження витоку інформації;
методичне керівництво й участь у розробленні вимог щодо захисту інформації від несанкціонованого доступу;
аналітичне обґрунтування необхідності захисту інформації;
узгодження вибору програмно-технічних засобів і систем захисту.
Для ефективної та надійної роботи системи забезпечення безпеки інформації необхідно правильно організувати дозвільну процедуру доступу користувачів до інформації, тобто надати користувачам право працювати з тієї інформацією, що необхідна їм для виконання своїх функціональних обов’язків, встановити їх повноваження щодо доступу до інформації.
Серед організаційних заходів щодо забезпечення безпеки інформації важливе місце займає охорона об’єкту, на якому розміщена система захисту (територія, будинки, приміщення, сховища інформаційних носіїв), шляхом встановлення відповідних постів технічних засобів охорони, що запобігають розкраданню інформаційних носіїв, а також несанкціонованому доступу до апаратури і каналів зв’язку.
Основною характерною рисою діяльності підприємства, пов’язаного з опрацюванням і передаванням інформації, яка підлягає захисту, є функціонування системи захисту інформації як комплексу програмно-технічних засобів і організаційних рішень, що передбачають:
врахування, збереження і видачу користувачам інформаційних носіїв, паролів, ключів;
ведення службової документації служби захисту інформації (генерацію паролів, ключів, супровід правил розмежування доступу);
оперативний контроль за функціонуванням служби захисту інформації;
контроль за ходом технологічного процесу опрацювання і передавання інформації шляхом реєстрації та аналізу дій користувачів, сигналізації про небезпечні події.
6.3. Специфіка технічного захисту інформації
Технічний захист інформації – це не данина моді, а вимога часу.
Адже на сучасному етапі розвитку суспільства інформація є чи не найдорожчим товаром, одним з найважливіших джерел процвітання будь-якої фірми. Широкомасштабне впровадження інформаційних технологій потребує значної уваги до питань технічного захисту інформації, оскільки несанкціонований витік її може призвести до втрати фірмою позицій на ринку і значних фінансових збитків.
Одним із напрямів захисту інформації в інформаційних системах є технічний захист інформації (ТЗІ). У свою чергу, питання ТЗІ поділяють на два великих класи завдань:
захист інформації від несанкціонованого доступу (НСД);
захист інформації від витоку технічними каналами.
Технічні канали – це канали побічних електромагнітних випромінювань і наведень (ПЕМВН), акустичні канали, оптичні та ін.
Для розв’язання всього комплексу завдань компанія має співпрацювати з провідними державними та недержавними підприємствами й організаціями, що працюють у галузі захисту інформації, в тому числі:
зі Службою безпеки України, державним підприємством “Українські
спеціальні системи” та ін.
Захист від НСД може бути здійснений у різних складових інфор-
маційної системи:
*прикладне й системне ПЗ:
− системи розмежування доступу до інформації;
− системи ідентифікації та автентифікації;
− системи аудиту й моніторингу;
− системи антивірусного захисту.
*апаратна частина серверів та робочих станцій:
− апаратні ключі ;
− системи сигналізації;
− засоби блокування пристроїв та інтерфейсів вводу-виводу інформації.
*комунікаційне обладнання і канали зв’язку:
− міжмережеві екрани (Firewall) – для блокування атак із зовнішнього середовища:
1) Cisco PIX Firewall;
2) Symantec Enterprise FirewallTM;
3) Contivity Secure Gateway та Alteon Switched Firewall від компанії Nortel Networks. Вони керують проходженням мережевого трафіка відповідно до правил (policies) захисту. Міжмережеві екрани зазвичай установлюють на вході мережі і поділяють на внутрішні (приватні) й зовнішні (загального доступу);
− системи виявлення вторгнень (IDS – Intrusion Detection System) – для виявлення спроб несанкціонованого доступу як ззовні, так і всередині мережі, захисту від атак типу “відмова в обслуговуванні” (Cisco Secure IDS, Intruder Alert та NetProwler від компанії Symantec). Використовуючи спеціальні механізми, системи виявлення вторгнень здатні запобігати шкідливим впливам, що дає змогу значно зменшити час простою внаслідок атаки і витрати на підтримку працездатності мережі;
− засоби створення віртуальних приватних мереж (VPN – Virtual Private Network) – для організації захищених каналів передавання даних через незахищене середовище: Symantec Enterprise VPN; Cisco IOS VPN; Cisco VPN concentrator. Ці віртуальні приватні мережі забезпечують прозоре для користувача сполучення локальних мереж, зберігаючи при цьому конфіденційність та цілісність інформації шляхом її динамічного шифрування;
− засоби аналізу захищеності – для аналізу захищеності корпоративної мережі та виявлення можливих каналів реалізації загроз інформації: Symantec Enterprise Security Manager; Symantec NetRecon. Їх застосування дає змогу уникнути можливих атак на корпоративну мережу, оптимізувати витрати на захист інформації та контролювати поточний стан захищеності мережі.
*периметр інформаційної системи, для захисту якого створюються системи:
− охоронної та пожежної сигналізації;
− цифрового відеоспостереження;
− контролю та управління доступом (СКУД).
Захист інформації від її витоку технічними каналами зв’язку забезпечується:
використанням екранованого кабелю та прокладанням проводів і кабелів в екранованих конструкціях;
установленням на лініях зв’язку високочастотних фільтрів;
побудовою екранованих приміщень (“капсул”);
використанням екранованого обладнання;
установленням активних систем зашумлення;
створенням контрольованої зони.
Для оцінювання стану технічного захисту інформації, що опрацьовується або циркулює в автоматизованих системах, комп’ютерних мережах, системах зв’язку, та підготовки обґрунтованих висновків для прийняття відповідних рішень проводять експертизу у сфері технічного захисту інформації.