Отдельные аспекты информационной безопасности на предприятии

Проблема информационной безопасности компаний. Анализ основных факторов, способствующих увеличению уязвимости конфиденциальных данных. Обоснование необходимости защиты информации на предприятии от кибератак. Комплексный подход к защите информации.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 15.09.2017
Размер файла 729,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

9

Размещено на http://www.allbest.ru/

Отдельные аспекты информационной безопасности на предприятии

Гладких Евгений Леонидович

Магистрант MEHG-162 РГЭУ (РИНХ) г. Ростов-на-Дону

Соавтор Неделько Станислав Иванович Магистрант 3KGZ-551 РГЭУ (РИНХ)

г. Ростов-на-Дону

Аннотация. В данной статье рассмотрена проблема информационной безопасности компаний. Проанализированы основные факторы, способствующие увеличению уязвимости конфиденциальных данных. Выявлена и обоснована необходимость защиты информации на предприятии от кибератак, приведены статистические данные финансовых потерь от атак за предыдущий год. На основе проведенного исследования автором предлагается произвести комплексный подход к защите информации.

Ключевые слова: информация, информационная безопасность, информационные угрозы, кибератака, вирус, финансовые потери, кибербезопасность, киберугроза, стратегия, информационная защита

Keywords: data, data security, data threats, cyber attack, virus, financial losses, cyber security, cyber threat, strategy, data protection

В современном мире, быстрое развитие производства тесным образом находится в зависимости от информатизации управления. Информация занимает важнейшую часть при производстве товаров и услуг как ресурс и как товар. Все процессы, происходящие на производстве так или иначе связаны с информацией, которая необходима чтобы снизить риск при принятии решений. Информация является стратегическим ресурсом, от которого зависят конкурентоспособности организаций.

Информация - это ресурс, который, как и другие важные бизнес-ресурсы, имеет определенную ценность для организации, а это значит, что она нуждается в соответствующей защите. Таким образом обеспечение информационной безопасности является необходимым условием функционирования любой компании, а создание политики безопасности - одно из первых требований к организации информационной безопасности предприятия.

Компьютеры обслуживают промышленные, торговые, строительные предприятия, банки, распределяют энергию, следят за расписанием поездов и т.п. Компьютерные системы хранят информацию, обрабатывают её и предоставляют потребителям. При развитии вычислительной техники и информационных технологий увеличивалась сложность систем защиты компьютерной информации. Конкуренция между предприятиями ставит на первый план вопрос информационной безопасности.

Вице-президент корпорации Зута^есЗесигИу, Артур Вонг, являющаяся мировым лидером в сфере информационной безопасности, говорит, что "злоумышленники предпринимают все более изощренные атаки, пытаясь нарушить целостность корпоративных и личных данных". В связи с развитием и усложнением средств и методов автоматизации процессов информационной обработки, увеличивается её уязвимость. Основными факторами, которые способствуют увеличению уязвимости, являются:

• рост объема информации, которая накапливается, хранится и обрабатывается с помощью ЭВМ и других автоматизированных средств;

• единые базы данных информации разного характера и принадлежностей;

• расширение круга пользователей, которые имеют непосредственный доступ к ресурсам вычислительной системы и находящимся в ней данных;

• сложность режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима, режимов разделения времени и режима реального времени;

• автоматизация межмашинного обмена информацией.

Источники информационных угроз могут быть как внутренними, так и внешними. Чаще всего такое деление происходит по территориальному признаку и по признаку принадлежности к объекту информационной защиты (таблица 1).

Таблица 1. Источники информационных угроз

Источники внешней опасности

Источники внутренней опасности

разведка

сотрудники

конкуренты

-с корыстными целями

политические противники

-с преступными целями

преступники

"любители"

лица с нарушенной психикой

безответственные

стихийные бедствия

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

• 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

• 17% угроз совершается извне - внешние угрозы;

• 1% угроз совершается случайными лицами.

Информационные угрозы имеют векторный характер, т.е. всегда преследуют определенные цели и направлены на конкретные объекты.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;

• информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

• информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).

Каждая компания часто сталкивается с проблемами информационной безопасности. В Российской Федерации данная проблема с каждым годом увеличивается. В результате опроса, было выявлено, что за год около 98% компаний в России сталкиваются с инцидентами безопасности информации, которые вызваны факторами извне. За 12 месяцев на 3 п. п. растет количество организаций, подвергнутых кибератакам.

Самая значимая из внешних угроз, около 77%, это вредоносное программное обеспечение. 74% составляют нежелательные электронные письма, хотя спам очень часто содержит в себе вирус или ссылку на фишинговый сайт. К тому же, фишинговые сайты в 2014 г. составляли также одну из самых значимых внешних угроз - 28%.

Количество DDoS-атак увеличилось за год с 13% до 18% - в октябре 2013 года группа хакеров провела атаку на несколько ключевых российских банков, а весной 2014 года хакерскими организациями, такими как Anonymous Caucasus, была совершена серия мощных DDoS-атак на СМИ, различные государственные и окологосударственные сервисы.

В 2014 году значительно выросла доля корпоративного шпионажа - в основном за счет сильного роста количества таких инцидентов в крупных организациях (почти треть компаний, 32%). В СМБ-сегменте этот показатель существенно ниже - 19%. По всем остальным пунктам внешние угрозы также демонстрируют тенденцию к росту (рис.1).

Рис. 1 Статистика атак

Кибератаки несут значительные финансовые потери для компаний. Опрос респондентов по поводу прямых финансовых убытков при кибератаках, о дополнительных расходах, показал, что убытки от инцидента складываются из расходов на профессиональные сервисы (внешние специалисты по информационной безопасности, юристы, специалисты по связям с общественностью и т.д.), упущенных бизнес-возможностей (испорченная репутация, срыв контрактов из-за инцидента и т.п.), а также ущерба от вынужденного простоя 1Т-инфраструктуры компании и приостановки бизнес-процессов.

Результат показал, что в среднем от одного инцидента информационной безопасности крупные компании потеряли около 20 млн. рублей, а компании сегмента СМБ - около 780 тыс. рублей.

За 2014 год сумма средних потерь для небольших компаний выросла более чем на 100 тыс. рублей, в то время как для крупных компаний она снизилась (рис.2).

Рис.2 Потери от кибератак

Значительная часть суммы потерь компаний в результате серьезного инцидента информационной безопасности - это дополнительные расходы на устранение последствий инцидента и предотвращение подобных происшествий в будущем.

Общая оценка дополнительных затрат складывается из расходов на подбор дополнительного персонала, проведение тренингов по информационной безопасности для сотрудников и приобретение программного обеспечения и аппаратуры для защиты информационных систем компании от внешних и внутренних инцидентов в будущем. Для средних и малых компаний эти расходы составляют около 324 тыс. рублей, для крупных - около 2,2 млн. рублей (рис. 3).

Рис. 3 Дополнительные расходы компаний

Помимо финансовых потерь, инцидент информационной безопасности приводит к репутационному ущербу. Так, за исследуемый период 59% компаний были вынуждены публично признать произошедшее и раскрыть конфиденциальную информацию. В 33% случаев компания уведомляла клиентов, которые могли пострадать в результате инцидента, в 28% случаев - партнеров, и в 27% - поставщиков. Крупные корпорации в большинстве случаев обязаны сообщить об инциденте регулятору, клиентам и прессе, что наносит серьезный удар по деловой репутации таких компаний (рис. 4)

информационная безопасность кибератака

Рис. 4 Репутационный ущерб

Главный вывод, который можно сделать на основании результатов опроса, заключается в том, что несмотря на более прагматичный и точечный подход российских компаний к обеспечению информационной безопасности своей 1Т-инфраструктуры, количество успешных атак на бизнес продолжает расти.

Чтобы защитить информацию, одной антивирусной программы недостаточно. Сейчас при росте целевых атак, которые направлены на похищение конфиденциальной информации, а также денег, актуальность информационной безопасности выросла. Необходим комплексный подход к защите данных.

Защита не будет эффективной без обучения сотрудников и внедрения политик безопасности. Как показали результаты опроса, значительная часть инцидентов информационной безопасности, приводивших к утечке конфиденциальных данных, происходила по вине сотрудников компании, случайно или намеренно провоцировавших потерю ценной информации. Для того чтобы избежать случайных утечек, компаниям следует повышать уровень образованности сотрудников в области информационной безопасности. Особенно это касается обращения с корпоративной информацией, хранящейся на мобильных устройствах.

Политики безопасности, определяющие ответственность сотрудника за распространение конфиденциальной информации, - еще одна мера, которая может существенно повысить уровень защищенности корпоративных данных.

Вопрос об информационной безопасности в России давно назрел, и его следует решать комплексно. Необходимо отметить, что руководство России понимает серьезность существующих проблем, и на уровне ведущих ведомств разрабатываются различные меры по исправлению ситуациии предупреждению возможных негативных последствий. Так, Совет Федерации Федерального Собрания РФ в 2012 году разработал "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации".

В настоящее время на публичное обсуждение представлена вторая редакция проекта Федерального Закона "О безопасности критической информационной инфраструктуры российской федерации". ФСТЭК разрабатывает технические рекомендации по информационной защите АСУ ТП критически важных объектах.

Помимо законодательной базы, конечно, должны быть разработаны и типовые отраслевые методики построения защищенной инфраструктуры КВО; выработаны критерии оценки защищенности инфраструктуры, которые в необходимых случаях могут оперативно дорабатываться и адаптироваться под изменения ландшафта угроз; разработаны также методы стимулирования и юридической поддержки критически важных объектах; подготовлены и реализовываться образовательные программы для работников и управляющих. Ведь надежную защиту способно обеспечить только реальное сотрудничество государства, владельцев компаний и других участников рынка.

Библиографический список

1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 с.

2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2012. - 324 с.

3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2013. - 384 с.

4. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 с.

5. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 с.

Размещено на Allbest.ru

...

Подобные документы

  • Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

    дипломная работа [2,6 M], добавлен 17.11.2012

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

  • Структурная и пространственная модели банка. Условные цены единицы информации. Моделирование угроз безопасности. Система рангов наиболее опасных технических каналов утечки информации. Требования к организации информационной безопасности на предприятии.

    контрольная работа [48,6 K], добавлен 24.04.2014

  • Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.

    контрольная работа [34,1 K], добавлен 29.08.2013

  • Комплексный подход в обеспечении информационной безопасности. Анализ процессов разработки, производства, реализации, эксплуатации средств защиты. Криптографические средства защиты информации. Основные принципы инженерно-технической защиты информации.

    курсовая работа [725,1 K], добавлен 11.04.2016

  • Разработка политики безопасности компании в условиях информационной борьбы. Повышение информационной безопасности в системах обработки данных. Обеспечение устойчивости к противодействию диверсионной и технической разведке. Защита локальной сети.

    курсовая работа [841,2 K], добавлен 13.06.2012

  • Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.

    реферат [51,5 K], добавлен 20.01.2014

  • Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.

    контрольная работа [30,5 K], добавлен 18.09.2016

  • Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.

    курсовая работа [30,4 K], добавлен 03.02.2011

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Анализ степени уязвимости объекта информационной деятельности. Характеристика опасных каналов утечки информации на предприятии ООО "FitMax", методы и средства ее защиты. Модель нарушителей. Расчет степени защищенности объекта и материального ущерба.

    дипломная работа [4,1 M], добавлен 14.02.2014

  • Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.

    контрольная работа [27,8 K], добавлен 26.02.2016

  • Перечень сведений, составляющих коммерческую тайну. Политика информационной безопасности. Основные положения информационной безопасности фирмы. План мероприятий по защите коммерческой тайны. Мероприятия по защите информации в компьютерной сети.

    курсовая работа [2,0 M], добавлен 17.02.2011

  • Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

    курсовая работа [28,2 K], добавлен 17.05.2016

  • Нормативно-правовые акты Российской Федерации в области информационной безопасности. Порядок организации работ по защите информации в информационных системах. Общий подход к разработкам технического задания на разработку системы защиты этой сферы.

    курсовая работа [31,3 K], добавлен 05.05.2015

  • Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.

    контрольная работа [26,6 K], добавлен 26.05.2010

  • Понятие и сущность информации. Исторические этапы развития информационной безопасности, ее принципы и необходимость, цели обеспечения. Виды угроз и способы защиты. Последствия утечек информации. Классификация различных средств защиты информации.

    реферат [32,8 K], добавлен 21.09.2014

  • Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.

    курсовая работа [269,0 K], добавлен 24.04.2015

  • Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.

    презентация [226,0 K], добавлен 30.01.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.