Підвищення рівня інформаційної безпеки вітчизняних підприємств

 

 

МІНІСТЕРСТВО ОСВІТИ ТА НАУКИ В УКРАЇНІ

ВІННИЦЬКИЙ НАЦІОНАЛЬНИЙ ТЕХНІЧНИЙ УНІВЕРСИТЕТ

Кафедра МБІС

 

 

 

 

 

 

 

 

Звіт з дисципліни ОНДР на тему:

«Підвищення рівня інформаційної безпеки вітчизняних підприємств»

 

 

 

 

 

 

 

 

 

 

 

Розробив: ст. гр. МОі-12

Чорний В. О.

Перевірив: к.т.н., проф.

Азарова А. О.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Вінниця 2014

 

ЗМІСТ
ВСТУП……………………………………………………………………...		4
РОЗДІЛ 1 ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
1.1 Інформаційна безпека підприємства………………………………….		6
1.2 Характеристика загроз інформаційної безпеки…………….............		9
1.3 Основні принципи забезпечення інформаційної безпеки підприємства ………………………………………………………………		11
1.4 Висновки до розділу 1…………………………………………………		12
РОЗДІЛ 2 МЕТОДИ ТА ПОЛІТИКА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
2.1 Методи забезпечення інформаційної безпеки……………….............	14
2.2 Види моделей політики інформаційної безпеки…………………….		18
2.1.1   Дискреційна політика безпеки…………………………………….		18
Мандатна політика………………………………………................		21
Рольова політика безпеки…………………………………………		22
2.3 Значення політики безпеки інформації…………………………........		25
2.4 Висновки до розділу 2………………………………………………...		26
ВИСНОВКИ І ПРОПОЗИЦІЇ……………………………………………...		27
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ……………………………..		31

 

 

 

 

 

 

 

 

 

 

                                                    АНОТАЦІЯ

 

У звіті розглянуто проблему інформаційної безпеки підприємства, види загроз інформаційній безпеці. Досліджено існуючі методи і моделі політик по захисту інформації підприємства, переваги та недоліки кожного. Обґрунтовано методи впровадження та підтримання захисту конфіденційних даних підприємства.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ABSTRACT

 

The conclusion considers the issue of  enterprises`  information security as well as the kinds of  information  security threats. There had been carried out a research on exiting methods and policy models of the enterprises` information security advantages and disadvantages as well as there had been made an analysis of their.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ВСТУП

 

Бурхливий розвиток інформаційних технологій призвів до інформаційної революції, внаслідок чого основною цінністю для суспільства взагалі й окремої людини зокрема поступово стають інформаційні ресурси. За таких обставин забезпечення інформаційної безпеки поступово виходить на перший план у проблематиці національної безпеки.

З одного боку, використання інформаційних технологій дає ряд очевидних переваг: підвищення ефективності процесів управління, оброблення і передавання даних і т.п. У наш час вже неможливо уявити велику організацію без застосування новітніх інформаційних технологій, починаючи від автоматизації окремих робочих місць і закінчуючи побудовою корпоративних розподілених інформаційних систем.

З іншого боку, розвиток мереж, їх ускладнення, взаємна інтеграція, відкритість призводять до появи якісно нових загроз, збільшенню числа зловмисників, які мають потенційну можливість впливати на систему.

У даний час для захисту інформації потрібно не просто розробляти приватні механізми захисту, а реалізовувати системний підходу вирішення цієї проблеми, що включає комплекс взаємопов'язаних заходів (використання спеціальних технічних і програмних засобів, організаційних заходів, нормативно-правових актів і т.п.) Головною метою будь-якої системи забезпечення інформаційної безпеки є створення умов функціонування підприємства для запобігання загроз його безпеки, захисту законних інтересів підприємства від протиправних посягань, недопущення розкрадання фінансових засобів,  розголошення, втрати, витоку, спотворення і знищення службової інформації.

З урахуванням майбутнього розвитку інформатизації, проникнення інформаційних технологій у найважливіші сфери життя суспільства необхідно передбачити перехід від принципу гарантування безпеки інформації до принципу інформаційної безпеки. Тобто, не зважаючи на рівень розвитку інформаційної безпеки сьогодні, залишається висока імовірність порушення конфіденційності даних підприємства, саме тому актуальним є питання грамотного впровадження та застосування системи забезпечення інформаційної безпеки. Питання інформаційної безпеки розглянуто в роботах Баранова А. І. , Ярочкіна В. І. , Конєєва І. Р., Голубченко О. Л., Устинова Г. Н., Гмурмана О. І. , Богуша В. М., Юдіна О. К., Герасименка О. А., Домарева В. В. та ін. [4-12].

Джерелами інформації слугували закони України: «Про інформацію», «Про електронний цифровий підпис», Міжнародний стандарт управління інформаційною безпекою [1-3], дослідження вітчизняних та закордонних вчених, електронні ресурси.

Метою дослідження є розробка рекомендацій щодо підвищення захисту інформації на вітчизняних підприємствах.

Об’єктом дослідження слугує інформаційна система підприємства та її безпосередній захист.

Предметом дослідження є програмні засоби та методи забезпечення ІБ підприємства.

У роботи використані методи дослідження:

• аналізу – при дослідженні недоліків інформаційної безпеки вітчизняних підприємств;
• порівняння  – при дослідженні недоліків та преваг наявних методів забезпечення ІБ;
• синтезу – при формуванні висновків щодо підвищення рівня ІБ вітчизняних підприємств.

Теоретична цінність роботи полягає тому, що в подальшому проведені дослідження щодо інформаційної безпеки можна буде в подальшому використати як базу для визначення напрямку інформаційної політики, її впровадження та підтримання функціонування.

РОЗДІЛ 1

ОСНОВНІ ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

 

 

1. Інформаційна безпека підприємства

 

Інформаційна безпека підприємства ─ це захист інформації, якою володіє підприємство (виробляє, передає або отримує) від несанкціонованого доступу, руйнування, модифікації, розкриття і затримок при надходженні. Крім того, під інформаційною безпекою розуміють захищеність інформації та підтримуючої її інфраструктури від будь-яких випадкових або зловмисних дій, результатом яких може з'явитися нанесення збитку самої інформації, її власникам або підтримуючої інфраструктури.

Згідно ЗУ «Про інформацію», захист інформації  ─  це «сукупність правових,  адміністративних, організаційних,  технічних  та  інших  заходів,  що   забезпечують збереження,  цілісність  інформації та належний порядок доступу до неї» [1].

Згідно з міжнародним стандартом, система управління інформаційною безпекою – це «частина загальної системи управління організації, що заснована на оцінці бізнес ризиків, яка створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід та вдосконалення інформаційної безпеки» [3].

На практиці інформаційна безпека включає в себе заходи по захисту процесів створення даних, їх введення, обробки і виводу. Метою комплексної інформаційної безпеки є збереження інформаційної системи підприємства в цілісності, захист і гарантування повноти і точності інформації, яку вона видає, мінімізація руйнувань і модифікація інформації, якщо такі трапляються. Отже, інформаційна безпека як комплекс заходів забезпечує наступні фактори збереження та захисту інформаційної системи підприємства:

1. конфіденційність ─ властивість, яка гарантує, що інформація недоступна і не може бути розкрита несанкціонованими особами, об’єктами чи процесами. Можливість ознайомитись з інформацією мають лише ті особи, які володіють відповідними повноваженнями;
2. цілісність ─ властивість, яка гарантує, що система повноцінно виконує свої функції без навмисних чи випадкових несанкціонованих втручань. Можливість внести зміни в інформацію повинні мати лише ті особи, які на це вповноважені;
3. доступність ─ можливість отримання авторизованого доступу до інформації з боку вповноважених осіб в відповідний санкціонований для роботи період часу.

Деякі дослідники включають також:

4. неспростовність ─ неможливість відмови від авторства, тобто особа, яка направила інформацію іншій особі, не може відректися від факту відправлення інформації, а особа, яка отримала інформацію, не може відректися від факту її отримання. Забезпечується засобами криптографії (електронно-цифровим підписом);
5. властивість, яка гарантує, що ідентифікатори предмета чи ресурсу задовольняють необхідні вимоги. Достовірність застосовують до об’єктів: споживачів, процесів, систем чи інформації;
6. підзвітність ─ забезпечення ідентифікації суб'єкта доступу та реєстрації його дій, тобто всі значимі дії особи, які вона виконує в рамках, що контролюються системою безпеки, повинні бути зафіксовані і проаналізовані. Зазвичай облік ведеться засобами електронних реєстраційних журналів, які використовуються в основному лише вповноваженими службами;
7. достовірність – властивість відповідності передбаченій поведінці чи результату;
8. автентичність ─ властивість, що гарантує, що суб'єкт або ресурс ідентичні заявленим [4].

 

 

1.3 Характеристика загроз інформаційної безпеки

 

Сутність загроз інформаційної безпеки зводиться, як правило, до нанесення того чи іншого збитку підприємству (організації).

Прояви можливого збитку можуть бути найрізноманітнішими:

1. моральна і матеріальна шкода діловій репутації організації;
2. моральний, фізичний чи матеріальний збиток, пов'язаний з розголошенням персональних даних окремих осіб;
3. матеріальний (фінансовий) збиток від розголошення конфіденційної інформації;
4. матеріальний (фінансовий) збиток від необхідності відновлення порушених інформаційних ресурсів, які захищаються;
5. матеріальні збитки (втрати) від неможливості виконання взятих на себе зобов'язань перед третьою стороною;
6. моральний і матеріальний збиток від дезорганізації в роботі всього підприємства [4].

       Слід зазначити, що ключовим фактором, у забезпеченні інформаційної безпеки підприємства є його персонал. Основними заходами при роботі з яким є:  проведення аналітичних процедур при прийомі і звільненні; навчання і інструктаж практичним діям по захисту інформації; контроль за виконанням вимог по захисту інформації, стимулювання відповідального відношення до збереження інформації  та ін [5].

Джерела зовнішніх загроз можуть бути випадковими і запланованими та мати різний рівень кваліфікації. До них відносяться:

• кримінальні структури;
• потенційні злочинці і хакери;
• нечесні партнери;
• технічний персонал постачальників послуг, тощо.

Внутрішні суб'єкти (джерела), як правило, представлені висококваліфікованими фахівцями у галузі розробки та експлуатації програмного забезпечення і технічних засобів, знайомі зі специфікою розв'язуваних завдань, структурою та основними функціями та принципами роботи програмно-апаратних засобів захисту інформації, мають можливість використання штатного устаткування і технічних засобів мережі. До них відносяться:

• основний персонал (користувачі, програмісти, розробники);
• представники служби захисту інформації;
• допоміжний персонал (прибиральники, охорона);
• технічний персонал;

Технічні засоби, що є джерелами потенційних загроз безпеці інформації, також можуть бути зовнішніми:

• засоби зв'язку;
• мережі інженерних комунікації;
• транспорт;

та внутрішніми:

• неякісні технічні засоби обробки інформації;
• неякісні програмні засоби обробки інформації;
• допоміжні технічні засоби (охорони, сигналізації, телефонії);
• інші технічні засоби, що застосовуються в установі.

Відповідно, дії, які можуть завдати шкоди інформаційній безпеці організації, можна також розділити на кілька категорій:

1. Дії, які здійснюються авторизованими користувачами. У цю категорію потрапляють: цілеспрямована крадіжка або знищення даних на робочій станції або сервері; пошкодження даних користувачів у результаті необережних дій;
2. «Електронні» методи впливу, які здійснюються хакерами. До таких методів відносяться: несанкціоноване проникнення в комп'ютерні мережі, DOS атаки;
3. Комп'ютерні віруси. Окрема категорія електронних методів впливу - комп'ютерні віруси та інші шкідливі програми. Проникнення вірусу на вузли корпоративної мережі може призвести до порушення їх функціонування, втрат робочого часу, втрати даних, викраденні конфіденційної інформації і навіть прямим розкраданням фінансових коштів. Вірусна програма, яка проникла в корпоративну мережу, може надати зловмисникам частковий або повний контроль над діяльністю компанії.
4. «Природні» загрози. На інформаційну безпеку компанії можуть впливати різноманітні зовнішні фактори. Так причиною втрати даних може стати неправильне зберігання, крадіжка комп'ютерів і носіїв, форс-мажорні обставини і так далі [6].