2015-04-30
1950
Проблема защиты информации. Информация играет особую роль в процессе развития цивилизации. Владение информационными ресурсами и рациональное их использование создают условия оптимального управления обществом. И напротив, искажение информации, блокирование ее получения, использование недостоверных данных ведут к ошибочным решениям. Одним из главных факторов, обеспечивающих эффективность в управлении различными сферами общественной жизни, является правильное использование информации различного характера. Темпы прогресса сегодняшнего, а тем более завтрашнего дня в значительной мере зависят от состояния дел в области информационно-вычислительного обслуживания важнейших сфер деятельности - науки, техники, производства и управления. Особенно актуальна проблема использования экономической информации в сфере управления материальным производством, где рост информационного потока находится в квадратичной зависимости от промышленного потенциала страны.
В свою очередь быстрое развитие процессов автоматизации, использование компьютеров во всех сферах современной жизни, помимо несомненных преимуществ, повлекли появление ряда специфичных проблем. Одна из них - необходимость обеспечения эффективной защиты информации. Исходя из этого создание правовых норм, закрепляющих права и обязанности граждан, коллективов и государства на информацию, а также защита этой информации становятся важнейшим аспектом информационной политики государства.
|
|
|
Защита информации, особенно в экономической сфере, - очень специфический и важный вид деятельности. Достаточно сказать, что в мире средняя величина ущерба от одной банковской кражи с применением электронных средств оценивается в 9 тыс. долл.Ежегодные потери от компьютерных преступлений в США и Западной Европе достигают 140 млрд. долл.По мнению американских специалистов, снятие систем защиты информации с компьютерных сетей приведет к разорению 20 % средних компаний в течение нескольких часов, 40 % средних и 16% крупных компаний потерпят крах через несколько дней, 33 % банков «лопнут» за 2-5 часов, 50% банков - через 2-3 дня [6].
Представляют интерес сведения о проблемах защиты данных, приведших к материальным потерям в компаниях США в 1995 г. [14]:
· сбои в работе сети (24 %);
· ошибки программного обеспечения (14 %);
· компьютерные вирусы (12 %);
· неисправности в компьютерах (11 %);
· хищение данных (7 %);
· саботаж (5 %);
· несанкционированное внедрение в сеть (4 %);
· прочие (23 %).
Бурное развитие и распространение компьютерных систем и информационных сетей, обслуживающих банки и биржи, сопровождается ростом правонарушений, связанных с кражами и неправомочным доступом к данным, хранящимся в памяти компьютеров и передаваемым по линиям связи. Компьютерные преступления происходят сегодня во всех странах мира и распространены во многих областях человеческой деятельности. Они характеризуются высокой скрытностью, сложностью сбора улик по установленным фактам их совершения и сложностью доказательства в суде подобных дел. Правонарушения в сфере компьютерной информации могут совершаться в форме [12]:
|
|
|
· махинаций путем компьютерного манипулирования системой обработки данных в целях получения финансовой выгоды;
· компьютерного шпионажа и кражи программного обеспечения;
· компьютерных диверсий;
· кражи услуг (времени), неправомерного использования систем обработки данных;
· неправомерного доступа к системам обработки данных и «взламывания» их;
· традиционных преступлений в сфере бизнеса (экономики), совершаемых с помощью систем обработки данных.
Совершают компьютерные преступления, как правило, высококвалифицированные системные и банковские программисты, специалисты в области телекоммуникационных систем. Нешуточную угрозу информационным ресурсам представляют хакеры и крэкеры, проникающие в компьютерные системы и сети путем взлома программного обеспечения защиты. Крэкеры, кроме того, могут стереть или изменить данные в информационном банке в соответствии со своими интересами. За последние десятилетия в странах бывшего СССР появилась мощная генерация высокоподготовленных потенциальных хакеров, работавших в организациях и ведомствах, занимавшихся информационным пиратством на государственном уровне для использования полученной с Запада информации в военных и экономических интересах.
Что же крадут хакеры? Потенциальным объектом может служить любая информация, заложенная в ЭВМ, проходящая по вычислительным сетям или находящаяся на носителях ЭВМ и способная принести прибыль хакеру или его работодателю. К данной информации относятся практически все сведения, составляющие коммерческую тайну фирм, начиная от разработок и «ноу-хау» и заканчивая платежными ведомостями, по которым легко «вычислить» оборот фирмы, количество сотрудников и т.д. Особо ценной является информация по банковским сделкам и кредитам, проводимая по электронной почте, а также сделки на бирже. Большой интерес представляют для хакеров программные продукты, оценивающиеся на современном рынке в тысячи, а то и в миллионы долларов.
Крэкеры - «компьютерные террористы» – занимаются порчей программ или информации с помощью вирусов - специальных программ, обеспечивающих уничтожение информации или сбои в работе системы. Создание «вирусных» программ - дело весьма прибыльное, так как некоторые фирмы-производители используют вирусы для защиты своих программных продуктов от несанкционированного копирования.
Для многих фирм получение информации с помощью внедрения к конкурентам хакера-программиста - дело наиболее простое и прибыльное. Внедрять соперникам спецтехнику, постоянно контролировать их офис на излучение с помощью специальной аппаратуры - дело дорогостоящее и опасное. К тому же фирма-конкурент при обнаружении технических средств может в ответ затеять игру, давая ложную информацию. Поэтому свой хакер-пpoграммист в «стане врага» - наиболее надежный способ борьбы с конкурентами.
Таким образом, всевозрастающая опасность компьютерной преступности, прежде всего в финансово-кредитной сфере, определяет важность обеспечения безопасности автоматизированных информационных систем.
Информационная безопасность предприятия. Конечно, в наших условиях степень автоматизации коммерческой деятельности значительно уступает западным стандартам, поскольку большинство расчетных операций дублируется на бумаге, а обмен платежными документами в реальном времени осложнен из-за отсутствия единого механизма межбанковских коммуникаций и соответствующих правовых норм. С другой стороны, относительная слабость механизмов защиты и отсутствие у нас в стране юридической ответственности за компьютерные преступления стимулируют злоумышленников и способствуют их безнаказанности. Следует также учесть, что в подавляющем большинстве случаев на предприятиях, в банках и финансовых учреждениях эксплуатируются однотипные стандартные вычислительные средства (IBM совместимые персональные компьютеры с операционной системой MS DOS, локальные сети с программным обеспечением фирмы Novell, программы автоматизации бухгалтерской и банковской деятельности на языках Clipper, FoxPro или Paradox и т.д.), которые хорошо задокументированы и в деталях известны профессионалам. Простейшие механизмы защиты таких изделий (если они вообще используются) легко преодолимы.
|
|
|
Под безопасностью автоматизированной информационной системы предприятия (АИСП) понимается ее защищенность от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, модификации или разрушения ее компонентов [18]. Безопасность АИСП достигается обеспечением конфиденциальности обрабатываемой ею информации, а также целостности и доступности компонентов и ресурсов системы.
Конфиденциальность компьютерной информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы (пользователям, программам, процессам и т.д.).
Целостность компонента (ресурса) системы - свойство компонента (ресурса) быть неизменным (в семантическом смысле) при функционировании системы.
Доступность компонента (ресурса) системы - свойство компонента (ресурса) быть доступным для использования авторизованными субъектами системы в любое время.
Систему обеспечения безопасности АИСП можно разбить на следующие подсистемы:
|
|
|
· компьютерную безопасность;
· безопасность данных;
· безопасное программное обеспечение;
· безопасность коммуникаций.
Компьютерная безопасность обеспечивается комплексом технологических и административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности связанных с ним ресурсов.
Безопасность данных достигается защитой данных от неавторизованных, случайных, умышленных или возникших по халатности модификаций, разрушений или разглашений.
Безопасное программное обеспечение представляет собой общецелевые и прикладные программы и средства, осуществляющие безопасную обработку данных в АИСП и безопасно использующие ресурсы системы.
Безопасность коммуникаций обеспечивается посредством аутентификации телекоммуникаций за счет принятия мер по предотвращению предоставления неавторизованным лицам критичной информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.
К объектам информационной безопасности на предприятии (фирме) относят:
· информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде документированных информационных массивов и баз данных;
· средства и системы информатизации - средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями (офисами), системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.
В современном мире информационные ресурсы стали одним из мощных рычагов экономического развития предприятий (фирм), играющих важную роль в предпринимательской деятельности. Более того, отсутствие в сфере отечественного бизнеса эффективных компьютерных и современных информационных технологий, являющихся основой функционирования «быстрых» экономик, существенно тормозит переход на новые формы хозяйствования.
Рыночная экономика диктует свои законы: и большому и малому бизнесу необходимо информационное обеспечение коммерческой деятельности, необходимы как базы данных общедоступной коммерческой информации, макроэкономической ситуации и тенденций развития, так и системы для обработки внутрифирменной информации.
