Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Шпоры Нац экономика 105 вопр[1].2.doc
Скачиваний:
179
Добавлен:
12.11.2019
Размер:
1.41 Mб
Скачать

30.Информационная безопасность организации: понятие, сущность, угрозы. Комплексная система защиты информации на предприятии

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе.

Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

Сущность: информационной безопасности организации защищённость информационной среды организации, обеспечивающее её формирование, использование и развитие.

Главными целями деятельности по обеспечению информационной безопасности, как уже отмечалось, являются ликвидация угроз объектам информационной безопасности и минимизация возможного ущерба, который может быть нанесен вследствие реализации данных угроз. Основные направления деятельности по обеспечению информационной безопасности на предприятии, используемые для осуществления этой деятельности силы, средства, способы и методы подробно рассмотрены в последующих главах учебника. В настоящей статье изложены сущность и основные виды угроз информационной безопасности.    По отношению к предприятию угрозы делятся на внутренние и внешние. Соответственно, хакерская атака на компьютеры компании будет рассматриваться как внешняя угроза, а занесение вируса в сеть сотрудниками – как внутренняя. К внутренним угрозам также относят кражу информации сотрудниками.

По намеренности угрозы бывают преднамеренными и непреднамеренными. Например, к непреднамеренным угрозам можно отнести случайное удаление данных сотрудником. Устранить от преднамеренные угрозы сложнее, так как вредоносное ПО или человек, угрожающие предприятию, имеют чёткий план действий по преодолению возможной защиты.

По цели можно выделить угрозы, направленные на получение данных, уничтожение данных, изменение или внесение данных, нарушение работы ПО, контроль над работой ПО и прочие. Скажем, одной из наиболее частых хакерских атак на компьютеры предприятий является получение закрытых сведений для дальнейшего их незаконного использования (пароли к интернет-банкам, учётным записям электронной почты и т.д.). Такую угрозу можно классифицировать как внешнюю преднамеренную угрозу, направленную на получение данных.

Следует также понимать, что нельзя защититься от всех мыслимых и немыслимых угроз ИБ хотя бы потому, что невозможно предусмотреть действия злоумышленников, не говоря уж обо всех ошибках пользователей. Однако существует ряд общих методов защиты, которые позволят сильно понизить вероятность реализации широкого спектра угроз и обезопасить предприятие от различного рода атак и ошибок пользователей. Далее мы подробнее рассмотрим наиболее эффективные из них.

Комплексная система защиты информации (КСЗИ) является совокупностью методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в АСОД.

Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АСОД.

Основными требованиями к комплексной системе защиты информации являются:

- система защиты информации должна обеспечивать выполнение АС своих основных функций без существенного ухудшения характеристик последней;

- она должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;

- защита информации в АС должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

- в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;

- она в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;

- при взаимодействии защищаемой АС с незащищенными АС система защиты должна обеспечивать соблюдение установленных правил разграничения доступа;

- система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС;

- применение системы защиты не должно ухудшать экологическую обстановку, не быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.