1.2 Угрозы информационной безопасности и методы их реализации в организации
Изучение и рассмотрение возможных угроз информационной безопасности является обязательной составляющей для определения всех необходимых требований к разрабатываемым системам защиты. Под угрозой безопасности следует понимать возможность воздействия на информационную систему, которое способно нанести любой ущерб ее безопасности.
На сегодняшний день перечень существующих угроз огромный и включает сотни позиций разнообразных видов и подвидов угроз безопасности. Для их выявления необходимо разобраться с причиной их возникновения, а то есть с источниками угроз от которых они исходят
Классификация источников угроз безопасности информации приведена на рисунке 1.2 [4].
Рисунок 1.2– Классификация угроз безопасности
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объект и полное их устранение невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации.
Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами парирования угроз [5].
Рассмотренная выше классификация на субъективные и объективные источники угроз оправдана исходя из рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.
Рассмотрим основные виды угроз безопасности, то есть те нежелательные явления, которые могут воздействовать на информацию и от которых необходимо защищаться. Самая очевидное – это хищение (копирование информации), также это можно назвать несанкционированным доступом к ней. Тот факт, что нарушитель ознакомился с информацией, которую не должен был получать уже является хищением, так как он может ее передать другим лицам. Кроме того, нарушитель может уничтожить информацию. В этом случае нарушается доступность информации, а, следовательно, уже легальный пользователь не сможет получить доступ к ней. Также нарушитель может модифицировать (исказить) информацию. В этом случае будет нарушена ее целостность, в результате чего легальный пользователь вместо достоверной получит информацию, лишенную логической структуры, нечитаемую или бессмысленный набор символов (искаженную). Следующая угроза – это нарушение доступности, либо блокирование информации. Это такой вид угрозы, который однозначно не предполагает, что нарушитель будет стремиться получить доступ к информации, но в данном случае также пострадают интересы легальных пользователей, так как они также, как и в случае уничтожения не смогут получить доступ к информации. Разница заключается в том, что сама информация при этом не уничтожается и доступность может быть восстановлена тем или иным способом. Такая угроза относится к числу временных, но также является опасной, поскольку в случаях с различным организациями, коммерческими структурами может привести к финансовым потерям.
Следующие две угрозы связаны с целостностью информации. Часто имеют свойство проявляться в банковским, экономическим сферах, там, где речь идет о каких-то финансовых потоках, о каких-либо поручениях сделать денежные переводы. К данным угрозам относятся такие как, угроза отрицания подлинности информации и угроза навязывания ложной информации.
Угроза отрицания подлинности информации заключается в том, что нарушитель в ситуации, когда мы не имеет возможности целостность, полученной от него информации отказывается от ее авторства и отрицает подлинность. В рамках обеспечения информационной безопасности желательно разработать механизмы, которые бы не позволяли злоумышленнику так действовать.
Что же касается навязывания ложной информации, то данный вид угроз связан со всевозможным мошенничеством и подделкой различных информационных сообщений.
Стоит отметить, что целесообразно наряду с выявлением основных видов угроз проводить их анализ на основе их классификации по ряду признаков. Это удобно для того, чтобы собирать их в некоторые кластеры и типовыми методами от них защищаться. Классификация угроз безопасности представлена в таблице 1.1 [6].
Таблица 1.1 – Классификация угроз безопасности
Классификационный признак |
Виды дебиторской задолженности |
Описание |
По природе возникновения |
Естественные |
Вызваны воздействием на ИС объективными физическими процессами или стихийными природными явлениями |
Искусственные |
Вызваны деятельностью человека |
|
По степени преднамеренности проявления |
Угрозы, вызванные ошибками или халатностью персонала |
Вызваны некомпетентным использованием средств защиты пользователем, ошибочным вводом данных и т.п. |
Угрозы преднамеренного действия |
Вызваны действиями человека с явным злым умыслом. |
|
По не посредственному источнику угроз |
Природная среда |
Вызваны всевозможными стихийными бедствиями, пожарами, магнитными бурями и т.п. |
Человек |
Вызваны например, вербовкой путем подкупа персонала, разглашения конфиденциальных данных и т.п. |
|
Санкционированные программно-аппаратные средства |
Вызваны удалением данных, отказ в работе операционной системы и т.п. |
|
Несанкционированные программно-аппаратные средства |
Вызваны заражением компьютера вирусами с деструктивными функциями и т.п. |
|
По степени зависимости от активности ИС |
Независимо от активности ИС |
Вызваны, например, вскрытием шифров криптозащиты информации. |
Только в процессе обработки данных |
Вызваны например, угрозами выполнения и распространения программных вирусов. |
|
По степени воздействия на ИС |
Пассивные угрозы |
Угрозы, которые при реализации ничего не меняют в структуре и содержании ИС, например, угроза копирования данных. |
Активные угрозы |
Угрозы, которые при воздействии вносят изменения в структуру и содержание ИС. |
|
По этапам доступа пользователей или программ к ресурсам ИС |
Угрозы, проявляющиеся на этапе доступа к ресурсам ИС |
Например, угрозы несанкционированного доступа в ИС |
Угрозы, проявляющиеся после разрешения доступа к ресурсам ИС |
Вызваны, например, угрозами несанкционированного или некорректного использования ресурсов ИС. |
|
По способу доступа к ресурсам ИС |
Угрозы с использованием стандартного пути доступа |
Вызваны незаконным получением паролей и других реквизитов разграничения доступа с последующей маскировкой под зарегистрированного пользователя. |
Угрозы с использованием скрытого нестандартного пути доступа |
Вызваны несанкционированным доступом к ресурсам ИС путем использования недокументированных возможностей ИС. |
В основном, около 80% случаев приходится на утечку платежной информации и персональных данных и более того, в 68% случаях оказываются виновными сотрудники организации, и только лишь 8% приходится на руководство. Из-за чего же всё-таки возникают угрозы информационной безопасности? Существует разнообразное количество причин, по которым они возникают, но к основным относятся следующие [7]:
1. Использование нелицензионного программного обеспечения – одна из самых распространенных причин. Такое ПО не дает надежной защиты от мошенников. Приобретая такое ПО не получится сэкономить средств, так как на устранения вирусов и угроз, купленных вместе с ним, потребуется потратить большее количество денежных средств.
2. Халатность и невнимательность сотрудников – никто не застрахован от утечки информации по вине сотрудника. Поэтому стоит предупреждать свой персонал и довольно часто проводить беседы о мерах, которые способны сохранить информацию в целостности.
3. Вирусы – на сегодняшний день, самая опасная информационная угроза, которая способна проникнуть на любой компьютер и привести к достаточно крупным финансовым потерям. Как не печально, но самой обыкновенной почтой пользуется абсолютно все, а вирусы способны проникать даже через обычные программы обмена сообщениями.
4. Угрозы со стороны совладельцев бизнеса – во многих организация именно легальные пользователи являются каналом утечки информации. Либо это происходит непреднамеренно, например, сотрудник играет в компьютерные игры, что уже является нарушением правил информационной безопасности и тем самым ставит под угрозу информацию, которые можно получить с сервера. Однако, есть и такие сотрудники «кроты», которые умышленны крадут информацию. Поэтому нужно очень внимательно и с осторожностью подходить к выбору персонала.
5. DDoS-атаки – распространенный способ отказа в обслуживании, с помощью которого блокируется выбранный ресурс. Это не вирус, и сразу данный вид атаки сложно распознать. Обычно такие атаки используются в ходе конкурентной борьбы. Подобные угрозы может использовать любой пользователь, который имеет представление о том, что это такое. В сети Интернет огромное количество приложений и сервисов, которые позволяют осуществить мощнейшие атаки. Для того, чтобы полностью защититься от DDos-атак, необходимо обеспечить надежную стратегию защиты информационных ресурсов. Целесообразно использовать комплексный подход, с помощью которого можно противостоять атакам сетевого и прикладного уровней [статья].
Таким образом, можно сделать вывод о том, что такое понятие, как информационная безопасность является важным элементом в системе управления любой организации. И для того, чтобы сохранить целостную и достоверную информации необходимо знать «врага в лицо» и уделять достаточно внимания вопросу обеспечения безопасности.
1.3 Криптография как основа информационной безопасности
Для защиты информации в организации используют формальные средства защиты, которые выполняют защитные функции без участия человека по ранее заданному алгоритму (технические (физические и аппаратные), программные и специфические) и неформальные средства, которые регламентируют деятельность человека (законодательные, организационные и морально этические).
Криптографические методы защиты относятся к специфическим средствам защиты информации и используются как для защиты информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д. Криптографические методы и средства защиты информации являются основой обеспечения информационной безопасности. Однако, для более надежной защиты следует применять комплексный подход, который включает в себя совокупность криптографических и организационно-технических мероприятий.
Криптография – наука о методах обеспечения конфиденциальности, сохранения целостности данных, аутентификации и контроле участников взаимодействия. Это искусство шифрования.
Заметим, для того, чтобы защититься от разного вида угроз, необходимо придерживаться определенному алгоритму защиты информации и данных, выполнение которого позволит уменьшить вероятность возникновения «казусных» ситуаций и снизит риск потери, кражи, порчи информации.
Выводы по первому разделу
2 ВЫБОР ОПТИМАЛЬНОГО ВАРИАНТА ИНФОРМАТИЗАЦИИ БУХГАЛТЕРСКОГО УЧЁТА
2.1. Анализ рынка предлагаемых готовых информационных систем, которые могут использоваться для автоматизации бухгалтерского учета на предприятии хлебопечения.
Своевременный анализ деятельности способен помочь правильно определить перспективы развития на будущее. Бухгалтерский учет является одним из ключевых звеньев бизнеса, поэтому от правильности его ведения зависит финансовое благополучие предприятия в целом, а автоматизация является основой эффективного управления. Необходимо автоматизировать деятельность данного отдела для предприятия хлебопечения с численностью сотрудников 600 человек.
При выборе оптимального решения автоматизации следует учитывать такие факторы как: стоимость выбранного варианта; эффекты от внедрения системы; возможные риски.
Рассмотрим такой вариант, как покупка готовой информационной системы (ИС) у стороннего производителя и ее использование без изменений, который позволит автоматизировать деятельность бухгалтерии.
Организация относится к числу крупных, следовательно, для анализа и проведения сравнительной характеристики рассмотрим следующие программные продукты: