Безопасность информационной деятельности хозяйствующего субъекта

Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО СЕЛЬСКОГО ХОЗЯЙСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное Бюджетное образовательное учреждение высшего образования

«российский государственный аграрный университет -МСха имени К.А. Тимирязева» (ФГБОУ ВО ргау - МСХА имени К.А. Тимирязева)

Факультет экономики и финансов

Кафедра экономического анализа и аудита

ОТЧЕТ

по научно-исследовательской работе

Руководитель от кафедры

Доцент, Хежев А.М.

Исполнитель

Студентка Николаева А.В., 308 группа

Москва 2016



Аннотация

информационный угроза риск

Научно-исследовательская работа в рамках 6 семестра, включала в себя сбор, обработку, анализ и систематизацию научной информации по вопросу производственной безопасности.

Целями научно - исследовательской работы являлись: рассмотрение понятий безопасности и опасности информационной деятельности хозяйствующего субъекта , изучение угроз информационной безопасности хозяйствующего субъекта, а также рисков информационной безопасности хозяйствующего субъекта.

Для достижения поставленных целей необходимо решить следующие задачи:

- ознакомиться с понятиями безопасности и опасности информационной деятельности хозяйствующего субъекта;

- собрать информацию об угрозах информационной безопасности хозяйствующего субъекта и оценить риски информационной безопасности хозяйствующего субъекта.

Отчет по научно - исследовательской работе состоит из введения, трех глав и заключения.

Первая глава посвящена безопасности и опасности информационной деятельности хозяйствующего субъекта.

Во второй главе рассматриваются угрозы информационной безопасности хозяйствующего субъекта.

В третьей главе рассматриваются риски информационной безопасности хозяйствующего субъекта.

Объект исследования - высказывания ученых и специалистов к определению понятия «информационная безопасность хозяйствующего субъекта».

Предмет исследования - рассмотрение обеспечения информационной безопасности хозяйствующего субъекта с точек зрения разных авторов.

В работе был сделан вывод о том, какие определения наиболее полно отражают как саму информационную безопасность, так и существующие в ней угрозы и риски.



Содержание

Введение

Глава 1. Безопасность и опасности информационной деятельности хозяйствующего субъекта

1.1 Безопасность деятельности хозяйствующего субъекта

1.2 Информационная безопасность хозяйствующего субъекта

1.3 Опасности, угрожающие информационной деятельности хозяйствующего субъекта

Глава 2. Угрозы информационной безопасности хозяйствующего субъекта

2.1 Понятие угрозы информационной безопасности хозяйствующего субъекта

2.2 Перечень угроз информационной безопасности хозяйствующего субъекта

2.3 Влияние угроз информационной безопасности хозяйствующего субъекта на другие виды безопасности

Глава 3 Риски информационной безопасности хозяйствующего субъекта

3.1 Понятие рисков

3.2 Перечень рисков информационной безопасности хозяйствующего субъекта

Глава 4. Индикаторы информационной безопасности хозяйствующего субъекта

Заключение

Список использованных источников



Введение

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

Целями проведения научно - исследовательской работы являлись: рассмотрение понятий безопасности и опасности информационной деятельности хозяйствующего субъекта , изучение угроз информационной безопасности хозяйствующего субъекта, а также рисков информационной безопасности хозяйствующего субъекта.

Для достижения поставленных целей необходимо решить следующие задачи:

- ознакомиться с понятиями безопасности и опасности информационной деятельности хозяйствующего субъекта;

- собрать информацию об угрозах информационной безопасности хозяйствующего субъекта;

- оценить риски информационной безопасности хозяйствующего субъекта.

Объект исследования - научная информация по вопросу обеспечения информационной безопасности хозяйствующего субъекта



Глава 1. Безопасность и опасности информационной деятельности хозяйствующего субъекта

1.1 Безопасность деятельности хозяйствующего субъекта

Бизнес в России отличается сложностью, постоянным состоянием борьбы и острой конкуренции фирм. Устойчивые правила не существуют ни для партнеров, ни, в определенной степени, для государства.

Проблемы собственной экономической безопасности возникают перед каждым предприятием не только в кризисные периоды, но и при работе в стабильной экономической среде, комплекс решаемых при этом целевых задач имеет существенное различие.

В таблице представлены определения термина «безопасность» в различных словарях, а также текстах действующих Законов и государственных стандартов РФ.

Анализ различных определений термина «безопасность» позволяет выделить несколько элементов данного понятия. Во-первых, безопасность как состояние потенциальной жертвы, объекта опасности. Причем не любое состояние, а состояние защищенности от опасностей и угроз. Во-вторых, безопасность как способность объекта (человека, общества) сохранить свою сущность и основные характеристики в условиях целенаправленного, разрушающего воздействия извне или возникающих в самом объекте. В-третьих, это свойство системы, построенной на принципах устойчивости, саморегуляции, целостности. Безопасность призвана защитить каждое из этих свойств системы, так как разрушительное воздействие на любое из этих свойств приведет к гибели системы в целом.



Таблица 1 - Понятие «безопасность» в словарях и текстах законов РФ [54].

Источник информации	Определение понятия «безопасность»
Ефремова Т. Ф. Новый словарь русского языка	Безопасный - не грозящий опасностью, не причиняющий вреда; безвредный. Находящийся вне опасности, не подвергающийся ей.
Ожегов С.И., Шведова Н.Ю. Толковый словарь русского языка	Безопасность - состояние, при котором не угрожает опасность, есть защита от опасности.
Даль В.И. Толковый словарь живого великорусского языка	Безопасность - отсутствие опасности, сохранность, надежность. Безопасный - неопасный, неугрожающий, не могущий причинить зла или вреда; безвредный, сохранный, верный, надежный.
ФЗ РФ «О безопасности» (1992)	Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
ФЗ РФ «О пожарной безопасности» (1994)	Пожарная безопасность - состояние защищенности личности, имущества, общества и государства от пожаров.
ФЗ РФ «О промышленной безопасности опасных производственных объектов» (1997)	Промышленная безопасность опасных производственных объектов - состояние защищенности жизненно важных интересов личности и общества от аварий на опасных производственных объектах и их последствий.
ФЗ РФ «О безопасности гидротехнических сооружений» (1997)	Безопасность гидротехнических сооружений - свойство гидротехнических сооружений, позволяющее обеспечивать защиту жизни, здоровья и законных интересов людей, окружающей среды и хозяйственных объектов.
ФЗ РФ «Об охране окружающей среды» (2002)	Экологическая безопасность - состояние защищенности природной среды и жизненно важных интересов человека от возможного негативного воздействия хозяйственной и иной деятельности, чрезвычайных ситуаций природного и техногенного характера, их последствий.
ФЗ РФ «О техническом регулировании» (2002)	Безопасность продукции - состояние, при котором отсутствует недопустимый риск, связанный с причинением вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений.
ГОСТ Р 22.0.02-94 Безопасность в чрезвычайных ситуациях. Термины и определения основных понятий	Безопасность в чрезвычайных ситуациях - состояние защищенности населения, производственного персонала, объектов народного хозяйства и окружающей природной среды от опасностей в чрезвычайных ситуациях
ГОСТ Р 22.0.05-94 Безопасность в чрезвычайных ситуациях. Техногенные чрезвычайные ситуации. Термины и определения	Промышленная безопасность в чрезвычайных ситуациях - состояние защищенности населения, производственного персонала, объектов народного хозяйства и окружающей природной среды от опасностей, возникающих при промышленных авариях и катастрофах в зонах чрезвычайной ситуации.
ГОСТ Р 12.3.047-98 ССБТ. Пожарная безопасность технологических процессов. Общие требования. Методы контроля	Безопасность - состояние защищенности прав граждан, природных объектов, окружающей среды и материальных ценностей от последствий несчастных случаев, аварий и катастроф на промышленных объектах.

Д. Н. Ушаков характеризует безопасность как отсутствие опасности [47, с. 32].

Т. Ф. Ефремова говорит о безопасности, как о какой - либо ситуации, чьих- либо действиях, не связанных с опасностью, риском, неприятными последствиями [18, с. 76].

По С. И. Ожегову безопасность - это состояние, при котором не угрожает, есть защита от опасности [35, с. 195].

По ГОСТ Р 12.3.047-98 "безопасность -- состояние защищённости прав граждан, природных объектов, окружающей среды и материальных ценностей от последствий несчастных случаев, аварий и катастроф на промышленных объектах^" [12, с. 4].

В. М. Заплатинский говорит о том, что безопасность -- это такое состояние сложной системы, когда действие внешних и внутренних факторов не приводит к ухудшению системы или к невозможности её функционирования и развития [19, с. 13].

Социологическая энциклопедия определяет безопасность как состояние общественных отношений, при котором личность, социальная группа, общность, народ, страна (государство) может самостоятельно, суверенно, без вмешательства и давления извне свободно выбирать и осуществлять свою стратегию международного поведения, духовного, социально-экономического и политического развития [41, с. 37].

Российская энциклопедия об охране труда определяет безопасность как отсутствие недопустимого риска, связанного с возможностью нанесения ущерба [38, с. 331]. В области стандартизации Б. продукции, процессов и услуг обычно рассматривается с целью достижения оптимального баланса ряда факторов, включая такие нетехнические факторы, как поведение человека, позволяющих свести риск, связанный с возможностью нанесения ущерба здоровью людей и сохранности имущества, до приемлемого уровня.

А. Н. Силин трактует безопасность как состояние защищенности жизненно важных интересов личности, организации, общества и т.д. от внутренних и внешних угроз политического, экономического, социального, военного, техногенного, экологического, информационного и иного характера. Он же говорит, что безопасность организации - это такое ее состояние, когда обеспечивается всесторонняя защита каждого работающего в ней человека, а также посещающего или контактирующего с ней [41, с. 52].

Гатчин Ю. А. и Сухостат В. В. рассматривают безопасность как общенаучную категорию, которая может быть определена как некоторое состояние рассматриваемой системы, при котором последняя, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних угроз, а с другой - ее функционирование не создает угроз для элементов самой системы и внешней среды [ 8, с. 18].

Из выше рассмотренных определений можно сделать вывод о том, что наиболее точным является то что безопасность - это такие условия, в которых находится объект, когда действие внешних и внутренних факторов не влечёт действий, считающихся отрицательными по отношению к данному объекту в соответствии с существующими на данном этапе потребностями, знаниями и представлениями.

1.2 Информационная безопасность хозяйствующего субъекта

В настоящее время среди специалистов по информационной безопасности формируется понимание комплексной системы защиты информации. В привычном понимании, следующем из большинства официальных определений данного термина, информационная безопасность - это состояние защищённости, способность противостоять и противодействовать угрозам. Согласно определению П. Ю. Филяка, в реальности информационная безопасность - это система, механизм и процесс, динамическая система, осуществляемая адекватными техническими и организационными мерами, включающими создание набора регламентирующих документов предприятия, классификацию данных, оценку рисков, обучение персонала, внедрение средств защиты информации и т.д [49].

Е. К. Баранова говорит о том, что информационная безопасность - это свойство сетей связи общего пользования противостоять возможности реализации нарушителем угрозы информации. Информационная безопасность - свойство сетей связи общего пользования сохранять неизменным характеристики информационной безопасности в условиях возможных воздействий нарушителя [4, с. 254].

По мнению Д. А. Максимова под обеспечением информационной безопасности понимается физическая сторона вычислительных средств, оргтехники, носителей информации.

Суть информационной безопасности в проведении правовых, организационных и технических мероприятий инфраструктуры ,информационных ресурсов, защите информации высокой значимости [29, с. 8].

Следует подчеркнуть, что И. Н. Старостенко рассматривает информационную безопасность как состояние защищённости национальных интересов в информационной сфере , определяемых совокупностью сбалансированных интересов личности, общества и государства [42, с. 77].

Информационная безопасность- меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Под объектом защиты (если об информации рассуждать не в философском , а в физическом плане) будем подразумевать не абстрактное понятие, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.

Еще одним важнейшим аспектом изучаемой темы является тот факт, что в качестве объекта безопасности может быть сама личность человека. Так, например, Н. А. Новгородова и Р. В. Мещеряков рассматривают объекты безопасности как личность, её права и свободы; общество- его материальные и духовные ценности; государство- его конституционный строй ,суверенитет и территориальная ценность [33, с. 65]. Таким образом, эти авторы считают, что информационная безопасность- состояние защищённости жизненно важных интересов личности, общества, государства в информационной сфере от внешних и внутренних угроз, обеспечивающее её формирование, использование и развитие.

П. Д. Ковалёв определяет безопасность информации как состояние информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации ,копирования и блокирования [24, с. 3].

Авторы Г. П. Евдокимов, Р. Р. Фокин, М. А. Абиссова дают определение субъектов, а именно: субъекты - это те, кто используют информационные системы [17, с. 9]. Данные авторы рассматривают информационную безопасность как защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Л. И. Алешин определяет информационную безопасность как совокупность методов, средств и мероприятий, направленных на исключение искажений, уничтожения и несанкционированного использования накапливаемых, обрабатываемых и хранимых данных [1, с. 134].

В. А. Минаева говорит о том, что информационная безопасность - это способность государства, общества, личности обеспечить с определённой вероятностью достаточные и защищённые информационные ресурсы, информационные потоки для поддержания своей жизнедеятельности ,устойчивого функционирования и развития, противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное, общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации ; поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано [32, с. 73]. Информационная безопасность- состояние защищённости информационной среды общества, обеспечивающее её формирование , использование и развитие в интересах граждан, организаций, государства .

В доктрине информационной безопасности РФ термин информационная безопасность используется в широком смысле. Имеется в виду состояние защищённости национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства [16].

В Законе РФ Об участии в международном информационном обмене информационная безопасность определяется аналогичным образом - как состояние защищённости информационной среды общества, обеспечивающее её формирование , использование и развитие в интересах граждан, организаций, государства.

Гатчин Ю. А. и Сухостат В. В. говорят о том, что информационная безопасность - это такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой - ее функционирование не создает информационных угроз для элементов самой системы и внешней среды [ 8, с. 37].

Анализ определений понятия информационной безопасность позволяет сделать вывод о том, что среди учёных нет единого мнения о содержании данной категории в разрезе функционирования хозяйствующего субъекта и ее соотношения с другими экономическими категориями. Из всего вышесказанного можно сделать вывод о том, что информационная безопасность- это защищённость информации и поддерживающей её инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

1.3 Опасности, угрожающие информационной деятельности хозяйствующего субъекта

Как считает Колосов А.В., серьезной опасностью, которая угрожает экономическим интересам и общественному мнению являются попытки и действия по разрушению информационного пространства, искажению или утаиванию сведений, представляющих ценность для хозяйственной деятельности [25, с. 4].

Опасности могут быть обусловлены естественными (стихийные бедствия, техногенные катастрофы) или организационно-техническими человеческими, человеко-машинными и машинными факторами. Выделяют также активные и пассивные опасности. При человеческих факторах они обусловлены умышленными, преднамеренными действиями, в том числе по корыстным мотивам, или случайными, связанными с ошибками процесса подготовки, обработки и передачи информации и нецеленаправленной утечкой знаний. При человеко-машинных факторах опасности обусловлены доступом к ресурсам автоматизированных информационных систем с последующей потерей или раскрытием сведений или с ошибками проектирования, разработки и изготовления систем и их элементов, а также в процессе эксплуатации из-за недостаточной квалификации и некачественного обслуживания.

С развитием и распространением автоматизированных информационных систем опасность представляют "логически управляемые мины", взломщики информационных потоков и вирусы, способные заблокировать не только доступ к какой-либо системе или ее части, но и полностью уничтожить накопленную информацию. Среди опасностей такого рода отмечают: нарушение конфиденциальности данных и программ путем несанкционированного доступа; искажение целостности данных, программ, аппаратуры при их повреждении или незаконном изменении алгоритмов работы; снижение доступности данных путем блокирования линий связи несанкционированным объектом с целью передачи по ним своей информации или исключение необходимой системной информации; отказ от выполнения трансакций по каким-либо причинам.

Типичными путями утечки информации из автоматизированных информационных систем, в том числе через каналы телекоммуникаций, являются следующие:

· перехват электронных излучений,

· применение подслушивающих устройств,

· хищение носителей информации и производственных отходов,

· перехват акустических излучений и восстановление текста принтера,

· чтение остаточной информации в памяти системы после выполнения санкционированных запросов,

· маскировка под зарегистрированного пользователя,

· вывод из строя механизмов защиты.

Мотивы умышленных поступков большей частью обусловлены личными интересами, а именно финансовой выгодой, развлечением, попыткой добиться чьего-либо расположения, самовыражением, случайностью, местью, вандализмом.

Анализ угроз информационным системам дает основание распределить их по возрастанию степени опасности для хозяйствующего субъекта:

· некомпетентные служащие,

· хакеры и крекеры,

· злонамеренные поступки персонала,

· организованные преступные действия,

· шпионаж, в том числе экономический,

· намеренное разрушение информационного пространства.

Опасность, исходящая от некомпетентности служащих, по мнению экспертов, основывается на алгоритмической уязвимости информационной системы, которая не исключает возможности некомпетентных действий и может приводить к сбоям системы. Эта опасность исходит в основном от слабо подготовленных администраторов информационных систем, которые незаслуженно достигли привилегированного положения и способны на нечестные поступки для достижения еще больших привилегий.

Хакеры и крекеры - это технически грамотные люди. Они отличаются высокой степенью понимания процессов в информационных системах, но их устремления направлены на разрушение систем защиты информации и на нелегальное пользование информацией. Хакер - программист высокой квалификации, способный создавать программу без предварительной разработки детальных спецификаций, оперативно вносить изменения и добавления в работающие программы, не имеющие документации. Крекеры -- те же хакеры, но специализирующиеся на "взломе" коммерческих программных продуктов с целью их подпольного распространения.

Опасность, исходящая от организованной преступности в этой сфере, основывается на том, что информация является ценностью, измеряемой в денежном выражении. При ограблении банка потери в среднем составляют 19 тысяч долларов, а при компьютерном преступлении - 560 тысяч долларов

Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год и составляет около 3.5 миллиардов долларов. Одной из причин является сумма денег, получаемая в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов.

Шансов быть пойманным у компьютерного преступника гораздо меньше, чем у грабителя банка - и даже при поимке у него меньше шансов попасть в тюрьму. Обнаруживается в среднем 1 процент компьютерных преступлений. И вероятность того, что за компьютерное мошенничество преступник попадет в тюрьму, меньше 10 процентов.

К опасностям, исходящим от служащих и касающихся целенаправленных действий по отношению к нужной информации, относят шпионаж. Зарубежные агенты пытаются использовать информацию для достижения экономических, политических или военных целей.

Я считаю, что Колосов А. В. точно сформулировал понятие опасности, угрожающей информационной безопасности хозяйствующего субъекта. Он дал ясно понять, что опасности могут быть обусловлены естественными или организационно-техническими человеческими, человеко-машинными и машинными факторами, а так же объяснил каждый.



Глава 2. Угрозы информационной безопасности хозяйствующего субъекта

2.1 Понятие угрозы информационной безопасности хозяйствующего субъекта

П.Ю. Филяк дает определение информационной безопасности хозяйствующего субъекта, в реальности сегодняшнего времени как «система, механизм и процесс, динамическая система, осуществляемая адекватными техническими и организационными мерами, включающими создание набора регламентирующих документов предприятия, классификацию данных, оценку рисков, обучение персонала, внедрение средств защиты информации и т.д. Комплексная система защиты информации - система, полностью охватывающая все процессы, факторы и события, которые обеспечивают безопасность всей защищаемой информации на предприятии» [49].

Важную роль играет построение системы зашиты информации. Оно заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты.

Система защиты информации на предприятии должна обеспечивать защиту от всех вероятных угроз. Угроза защищаемой информации - совокупность явлений, факторов и условий, создающих опасность нарушения статуса информации.

Угрозы защищаемой информации связаны с ее уязвимостью, т.е. неспособностью информации самостоятельно противостоять дестабилизирующим воздействиям, нарушающим ее статус.

Д. А. Максимов понимает под угрозой информационной безопасности возможную опасность (потенциальная или реально существующую) совершения какого-либо деяния(действия или бездействия) , направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации [29, с. 18].

Под угрозами конфиденциальной информации И. Н. Старостенко понимает потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются: ознакомление с конфиденциальной информацией различными путями без нарушения её целостности, модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений, разрушение или уничтожение информации как акт вандализма с целью прямого нанесения материального ущерба [42, с. 153].

Одним из важнейших аспектов информационной безопасности является определение и классификация возможных угроз безопасности.

Н. А. Новгородова и Р. В. Мещеряков под угрозой безопасности понимают совокупность условий и факторов, создающих опасность жизненно важным интересам личности общества и государства [33, с. 42].

К внешним источникам угроз информационной безопасности Российской Федерации относятся: деятельность иностранных разведывательных и информационных структур, международных террористических организаций, а также обострения международной конкуренции за обладание информационными технологиями и ресурсами; увеличение технологического отрыва ведущих государств мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий.

П. Д. Ковалёв говорит об угрозе информационной безопасности, как об опасности совершения какого-либо деяния (действия или бездействие), направленного на нарушение основных свойств информации: конфиденциальности, целостности, доступности [24, с. 62].

По мнению В. А. Минаевой, информация - это состояние защищённости жизненно важных интересов личности общества и государства от внутренних и внешних угроз [32, с. 80]. Основными объектами этой безопасности являются права и свободы личности, духовные материальные ценности общества, конституционный строй , суверенитет и территориальная целостность государства. По её мнению, угроза безопасности - это совокупность условий и факторов , создающих опасность жизненно важным интересам личности , общества, государства. С учётом этого общего понятия безопасности, а так же рассмотренных ранее определения безопасности и целей защиты информации можно считать, что наиболее полным будет определение информационной безопасности , приведенное в Федеральном законе РФ Об участии в международном информационном обмене 85-ФЗ от 4 июля 1996 г.

Под угрозой безопасности Гатчин Ю. А. и Сухостат В. В. понимают потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации [8, с. 29].

Большой юридический словарь под редакцией М. А. Я. Сухарева, В. Е. Крутских и А.Я. Сухаревой определяет угрозу как письменно или другим способомвыраженное намерение нанести физический, материальный или иной вред какому-либо лицу или общественным интересам [43, с. 211].

Информационная угроза - потенциальная возможность неправомерного или случайного воздействия на объект защиты, приводящая к потере или разглашению информации.

Гуде С. В. и Ревин С. Б. рассматривают информационную угрозу как явные или скрытые целенаправленные информационные воздействия систем друг на друга с целью получения определенного выигрыша в материальной сфере.

Следует отметить, что определение Ковалёва П. Д. наиболее точно отвечает требованиям обеспечения экономической безопасности хозяйствующего субъекта. Он говорит об угрозе информационной безопасности, как об опасности совершения какого-либо деяния (действия или бездействие), направленного на нарушение основных свойств информации: конфиденциальности, целостности, доступности.

2.2 Перечень угроз информационной безопасности хозяйствующего субъекта

П. Ю. Филяк говорит о том, что угрозы защищаемой информации связаны с ее уязвимостью, т.е. неспособностью информации самостоятельно противостоять дестабилизирующим воздействиям, нарушающим ее статус [49].

К проявлениям угроз он относит:

· источники дестабилизирующего воздействия на информацию (главный источник - люди);

· виды дестабилизирующего воздействия на информацию;

· способы дестабилизирующего воздействия на информацию.

Так же немаловажно мнение Н. А. Новгородовой и Р. В. Мещерякова, которые говорят, что к внутренним источникам угроз относятся: администрация предприятия , персонал, технические средства обеспечения производственной и трудовой деятельности; критическое состояние отечественных отраслей промышленности; неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, усиление влияния организационной преступности на жизнь общества, снижения степени защищенности законных интересов граждан; недостаточное финансирование мероприятий по обеспечению информационной безопасности [33, с. 53].

А источники внешних угроз: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно-управленческого аппарата.

В. А. Минаева считает, что угроза информации(дестабилизирующий фактор) - это явление(событие, случай) ,которое может произойти в интересующие интервале времени и следствием которого может быть существенное нежелательное воздействие на защищаемую информацию по одному или нескольким аспектам статуса защищённости [32, с. 34].

Одной из конкретных форм проявлений угроз информационной безопасности является канал несанкционированного получения информации (КНПИ). Это конкретная форма проявления угрозы (дестабилизирующего фактора) относительно атрибута защищённости информации -предупреждения несанкционированного её получения лицами или процессами(программами) , не имеющими на это полномочий.

По мнению Гатчина Ю. А. и Сухостата В. В. всё множество угроз можно разделить на два класса:

· случайные или непреднамеренные;

· преднамеренные (см. рис.1) [8, с. 40].

Случайные угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайным или непреднамеренными.

Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным - до 80% от ущерба, наносимого информационным ресурсам любыми угрозами). При этом мо- гут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию.

Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для материальных источников хранения информации, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.

Сбои и отказы сложных систем неизбежны. В результате нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы. Нарушение работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к несанкционированному доступу к информации путем несанкционированной ее выдачи в канал связи, на печатающее устройство.

Ошибки при разработке информационной системы, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воз- действия на ресурсы информационной системы. Особую опасность представляют ошибки в операционных системах и в программных средствах защиты информации. Согласно данным Национального института стандартов и технологий США, 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

Характеризуя угрозы информации, не связанные с преднамеренными действиями, в целом, следует отметить, что механизм их реализации изучен достаточно хорошо, накоплен значительный опыт противодействия этим угрозам. Современная технология разработки технических и программных средств, эффективная система эксплуатации информационных систем, включающая обязательное резервирование информации, позволяют значительно снизить потери от реализации угроз этого класса.

Преднамеренные угрозы

Второй класс угроз безопасности информации составляют пред- намеренно создаваемые угрозы.

Данный класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам:

· традиционный или универсальный шпионаж и диверсии;

· несанкционированный доступ к информации;

· электромагнитные излучения и наводки;

· модификация структур информационных систем;

· вредительские программы.

В качестве источников нежелательного воздействия на информационные ресурсы по-прежнему актуальны методы и средства шпионажа и диверсий, которые использовались и используются для добывания или уничтожения информации на объектах, не имеющих информационных систем. Эти методы также действенны и эффективны в условиях применения информационных систем. Чаще всего они используются для получения сведений о системе защиты с целью проникновения в информационную систему, а также для хищения и уничтожения информационных ресурсов . К методам шпионажа и диверсий относятся:

· подслушивание;

· визуальное наблюдение;

· хищение документов и машинных носителей информации;

· хищение программ и атрибутов системы защиты;

· подкуп и шантаж сотрудников;

· сбор и анализ отходов машинных носителей информации;

· поджоги

· взрывы.

Для подслушивания злоумышленнику не обязательно проникать на объект. Современные средства позволяют подслушивать разговоры с расстояния нескольких сотен метров. Так, прошла испытания система подслушивания, позволяющая с расстояния 1 км фиксировать разговор в помещении с закрытыми окнами. В городских. условиях дальность действия устройства сокращается до сотен и десятков метров в зависимости от уровня фонового шума. Вне помещений подслушивание ведется с помощью сверхчувствительных направленных микрофонов.

Разговоры в соседних помещениях, за стенами зданий могут контролироваться с помощью стетоскопных микрофонов.

Одним из возможных каналов утечки звуковой информации может быть прослушивание переговоров, ведущихся с помощью средств связи. Контролироваться могут как проводные каналы связи, так и радиоканалы. Прослушивание переговоров по проводным и радиоканалам не требует дорогостоящего оборудования и высокой квалификации злоумышленника.

Дистанционная видеоразведка для получения информации в информационных системах малопригодна и носит, как правило, вспомогательный характер.

Видеоразведка организуется в основном для выявления работы и расположения механизмов защиты информации. Из информационной системы информация реально может быть получена при истолковании на объекте экранов, табло, плакатов, если имеются прозрачные окна и перечисленные выше средства размещены без учета необходимости противодействовать такой угрозе.

Видеоразведка может вестись с использованием технических средств, таких как оптические приборы, фото-, кино- и телеаппаратура. Многие из этих средств допускают консервацию (запоминание) видеоинформации, а также передачу ее на определенные расстояния.

Для вербовки сотрудников и физического уничтожения объектов информационной системы также не обязательно иметь непосредственный доступ на объект. Злоумышленник, имеющий доступ на объект информационной системы, может использовать любой из методов традиционного шпионажа. Злоумышленниками, имеющими доступ на объект, могут использоваться миниатюрные средства фотографирования; видео- и аудиозаписи. Для аудио- и видеоконтроля помещений и при отсутствии в них злоумышленника могут использоваться закладные устройства или «жучки». Для объектов информационных систем наиболее вероятными являются закладные устройства, обеспечивающие прослушивание помещений.

Процесс обработки и передачи информации техническими средствами сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках. Они получили названия побочных электромагнитных излучений и наводок (ПЭМИН). С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающих устройствах.

Наведенные в проводниках электрические сигналы могут выделяться и фиксироваться с помощью оборудования, подключаемого к этим проводникам на расстоянии в сотни метров от источника сигналов.

Большую угрозу безопасности информации в информационной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы.

Несанкционированная модификация структур может осуществляться на любом жизненном цикле информационной системы. Несанкционированное изменение структуры системы на этапах разработки и модернизации получило название «закладка». В процессе раз- работки системы «закладки» внедряются, как правило, в специализированные системы, предназначенные для эксплуатации в какой-либо фирме или государственных учреждениях. В универсальные системы «закладки» внедряются реже, в основном для дискредитации таких систем конкурентом или на государственном уровне, если предполагаются поставки системы во враждебное государство. «Закладки», внедренные на этапе разработки, сложно выявить ввиду высокой квалификации их авторов несложности современных информационных систем. Алгоритмические, программные и аппаратные «закладки» используются либо для непосредственного вредительского воздействия на информационную систему, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия «закладок» на систему осуществляются при получении соответствующей команды из- вне (в основном характерно для аппаратных «закладок») и при наступлении определенных событий в системе. Такими событиями могут быть, переход на определенный режим работы (например, боевой режим системы управления оружием или режим устранения аварийной ситуации на атомной электростанции т. п.), наступление установлен- ной даты, достижение определенной наработки и т.д.

Программные и аппаратные «закладки» для осуществления не- контролируемого входа в программы, использование привилегированных режимов работы (например, режимов операционной системы), обхода средств защиты информации получили название люки.

Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название вредительские программы. В зависимости от механизма действия вредительские программы делятся на четыре класса:

· «логические бомбы»;

· «черви»;

· «троянские кони»;

· «компьютерные вирусы».

«Логические бомбы». Это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах и выполняемые только при соблюдении определенных условий. Примерами таких условий могут быть: наступление заданной даты, переход системы в определенный режим работы, наступление некоторых событий установленное число раз и т.п.

«Червями» называются программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в вычислительных системах или сети и само воспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы.

«Троянские кони». Это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.

«Компьютерные вирусы». Это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на информационные системы. Поскольку вирусам присущи свойства всех классов вредительских программ, то в последнее время любые вредительские программы часто называют вирусами

2.3 Влияние угроз информационной безопасности хозяйствующего субъекта на другие виды безопасности

Информационная система предприятия, как правило, охватывает все сферы его деятельности: административную, производственную, финансовую, выступает как связующее звено при выработке стратегии бизнеса и качества управления предприятием и персоналом. В ней содержатся сведения, касающиеся планов, состояния материальных и финансовых потоков, договорной деятельности, данные финансового и управленческого учёта. Такого рода коммерческая информация носит сугубо конфиденциальный характер, а её утрата может оказаться критичной для работы всего предприятия, поэтому организация работы пользователей с содержащейся в системе информацией требует специальных мер защиты, обеспечивающих конфиденциальность, целостность и доступность данных.

Глава 3. Риски информационной безопасности хозяйствующего субъекта

3.1 Понятие рисков

Существуют разные определения риска как многомерной категории. Термин «риск» про- исходит от латинского «risicare», означающего «решиться». В теории и практике понятие риска имеет многосторонний и многозначный характер. Термин «риск» появился на рубеже Средних веков и Нового времени. Конечно, люди и раньше сталкивались с опасностями и неуверенностью в будущем. Однако опасности, которым они подвергались, связывались с воздействием высших сил.

Слово «риск» стало востребовано тогда, когда у людей появилось осознание ответственности за принятые решения. Современные обыденные представления о риске многообразны. В настоящее время в энциклопедических и специальных словарях содержатся различные интерпретации термина «риск». Понятие «риск» впервые было определено в словаре В.И. Даля, где термины размещены по гнездовому признаку. Во главе гнезда с корнем «риск» поставлен глагол «рисковать». Автор дает определение: «Рисковать, рискнуть - 1) пускаться наудачу, на не- верное дело, наудалую, отважиться, идти на авось, делать что-то без верного расчета, подвергаться случайности, действовать смело, предприимчиво, надеясь на счастье, ставить на кон (от игры); 2) (что или чем) подвергаться чему-то, известной опасности, превратности, неудаче». И далее: «Рискованье, риск-отвага, смелость, решительность, предприимчивость, действие наудачу. Рисковое дело - неверное, отважное. Рискователь - рискующий, отважный человек» .

Анализ различных определений риска позволяет выделить несколько подходов. Первый связывает риск с опасностью. В словаре Ноа Уэбстера "риск" определяется как "опасность, возможность убытка или ущерба" [48, с. 65]. Следовательно, риск относится к возможности наступления какого-либо неблагоприятного события. В "Словаре русского языка" С. И. Ожегова (1990) говорится о риске, как о возможной опасности, неудаче, зато также приводится поговорка "риск -- благородное дело" [35, с. 430]. В энциклопедических словарях о "риске" не упоминается, не упоминается о нем и в специальных, в том числе и экономических словарях, изданиях до 1991г. [53, с .635].

В некоторых случаях риск понимается с позиции второго подхода, как деятельность, совершаемая в надежде на удачный исход.

Соединение первого и второго подходов позволяет рассматривать риск как "вероятность ошибки или успеха того или иного выбора в ситуации с несколькими альтернативами". Исходя из этого определения риск -- это ситуативная характеристика деятельности, состоящая в неопределенности ее исхода и возможности неблагоприятных последствий в случае неуспеха.

Г. Б. Клейнер рассматривает риск как возможность таких последствий принимаемых стратегических решений, при которых поставленные цели (генеральная цель предприятия либо стратегические цели) частично или полностью не достигаются [23, с. 33]. Таким образом, здесь рассматривается риск, который обусловлен принятием стратегических решений, причем риск возникает тогда, когда решения выбираются из нескольких альтернатив.

Риском стратегии или риском стратегического решения Г. Б. Клейнер называет возможность нежелательного развития событий, взятую в совокупности с их последствиями и рассматриваемую соотносительно с возможным ущербом от нежелательного развития событий [23, с. 27].

Риск в психологии может означать "обращение к деятельности при отсутствии уверенности в достижении ее цели". Под риском подразумевается действие, направленное на привлекательную цель, достижение которой сопряжено для человека с элементом опасности, угрозой потери, неуспеха (проигрыш, травма, заболевание, смерть и т. п.).

Ж. П. Морган определяет риск как степень неопределенности получения будущих чистых доходов.

В настоящее время риск наиболее активно исследуется как составляющая экономической деятельности. В этом контексте существуют следующие определения риска:

1.Риск - потенциальная, численно измеримая возможность потери. Понятием риска характеризуется неопределенность, связанная с возможностью возникновения в ходе реализации проекта неблагоприятных ситуаций и последствий.

2.Риск - вероятность возникновения потерь, убытков, недопоступления планируемых доходов, прибыли.

3. Риск - это неопределенность наших финансовых результатов в будущем.

4.Риск - степень неопределенности получения будущих чистых доходов.

5.Риск - вероятность потери ценностей (финансовых, политических, социальных ресурсов) в результате деятельности, если обстановка и условия проведения деятельности будут меняться в направлении, отличном от предусмотренного планами и расчетами.

По мнению О. Ренна, риск - это возможность того, что человеческие действия или результаты его деятельности приведут к последствиям, которые воздействуют на человеческие ценности [37].

В инженерно-физических науках термин «риск» считается вероятностью, умноженной на последствия. В психологии с этой точки зрения «риск» скорее рассматривается как функция субъективно воспринимаемых полезностей и вероятностей их проявления.

А.П. Альгин определяет риск уже как деятельность, связанную с преодолением неопределенности в ситуации неизбежного выбора, в процессе которой имеется возможность количественно и качественно оценить вероятность достижения предполагаемого результата, неудачи и отклонения от цели [2, с. 144].

Целый ряд определений риска, с которыми можно встретиться в литературе, рассматривают его как историческую и социально-экономическую категорию, как функцию (риск-менеджмент) и людей ее выполняющих (менеджер по риску), как область научных исследований и как учебную дисциплину.

Все сказанное позволяет дать следующее самое общее определение риска. Риск -- это образ действий в условиях неопределенности, ведущей в конечном результате, к победе успеха над неудачей.

3.2 Перечень рисков информационной безопасности хозяйствующего субъекта

Бендиков М.А. считает, что для информационной безопасности представляют угрозу следующие риски:

· разглашение информации, составляющей коммерческую тайну;

· несанкционированный доступ к закрытым информационным ресурсам конкурентов либо криминальных структур;

· утечка информации по техническим каналам утечки (побочные электромагнитные излучения, акустические колебания, электромагнитные наводки в проводных сетях);

· намеренное или случайное повреждение данных в электронном или бумажном виде, случайное или намеренное искажение информации;

· недоступность такого рода данных, например, в случае выхода из строя или хищения компьютерной техники;

· ведение в отношении организации активных мероприятий в информационном поле (информационно-психологическая война с возможным "вбросом" компрометирующих данных) с целью нанесения ущерба деловой репутации организации, ее руководству, изменения его рыночной стоимости для последующего поглощения или устранения [6, с. 17].

Информация по этой части раздела может быть представлена, как в виде текста, так и в схемах или таблицах, например, рис.2.

Рис.2. Классификация рисков при осуществлении хозяйственной деятельности производственных предприятий [6, с. 21]

Информационная составляющая экономической безопасности оценивает информационные потери, выраженные в стоимостном выражении, способные привести к краху всего предприятия. В качестве основных затрат по данной составляющей используют расходы по техническому и программному обеспечению конфиденциальности коммерческой информации, в качестве дополнительных - расходы на рекламу.

...