Обеспечение экономической безопасности информационного обеспечения в процессе разработки и принятия УР в банковской сфере на примере «Р

Сущность экономической  безопасности информационного обеспечения ФОПУР для предпринимательской структуры состоит в обеспечении состояния наилучшего использования ее ресурсов по предотвращению угроз предпринимательству и созданию условий стабильного, эффективного функционирования и получения прибыли.

Система экономической безопасности информационного обеспечения ФОПУР реализуется в системе критериев и показателей. Критерий экономической безопасности - оценка состояния экономики с точки зрения важнейших процессов, отражающих сущность экономической безопасности. [7]

Под управлением  принято понимать целенаправленное воздействие СУ на ОУ для поддержания ОУ в заданном состоянии или перевода его из одного состояния в другое, в соответствии с его целями функциями и задачами. Таким образом, необходимо определить, что же является заданным состоянием при обеспечение экономической безопасности информационного обеспечения ФОПУР.  Заданное состояние в данном случае следует трактовать, как способность экономической системы функционировать и развиваться в условиях действия различных угроз. При этом принципиальное значение имеет наличие возможности своевременной ликвидации, ослабления или компенсации этих угроз, избежания их накопления; преодоления неблагоприятных внешних воздействий, обеспечения устойчивости положения системы и ее субъектов. Иначе говоря, достижение определенного уровня экономической безопасности ИО ФОПУР означает наличие условий, создающих иммунитет организации от дестабилизирующих воздействий, поддерживающих ее конкурентоспособность на рынке и устойчивость финансового положения.

Для подведения итога всему вышесказанному, определим роль и место обеспечение экономической безопасности ФОПУР. Целью обеспечение экономической безопасности информационного обеспечения в процессе разработки и принятия УР является достижение, контроль и совершенствование защищенности интересов организации при воздействии угроз в информационной сфере в контексте развития бизнес, в том числе и с использованием новейших технологий оказания услуг данной организацией.

Цели обеспечения  экономической безопасности ФОПУР:

• управление рисками бизнеса;
• раннее выявление угроз, уязвимостей, возможностей и иных факторов влияния на успех бизнеса;
• обеспечение конкурентных преимуществ за счет своевременного принятия нестандартных оптимальных управляющих решений.

Функции служб  по обеспечению экономической безопасности ФОПУР:

• сбор важной для организации информации на регулярной основе;
• автоматический предварительный анализ потока собираемых сведений (классифицирование);
• своевременное информирование руководителей и персонала организации о критически важных событиях, обеспечение подготовки возможных вариантов решений, а также оценка сценариев развития событий;
• управление отношениями с клиентами;
• оперативный анализ неструктурированной и структурированной информации (извлечение новых знаний);
• синтез новых знаний для менеджмента организации.

1.2. Концепция комплексной системы обеспечения экономической безопасности информации при разработке и принятии управленческого решения

Информация есть предмет, средство и продукт управленческого труда. Важно подчеркнуть ряд требований, предъявляемых к управленческой информации: надежность (и достоверность), своевременность, адресность и возможность многократного использования. Действительно ценной является только та информация, которая уменьшает неопределенность в конкретной управленческой ситуации. Информация является основой процесса управления, труд управляющего и состоит в ее изучении и обработке. От уровня организации сбора, обработки и передачи информации зависит эффективность управленческого решения. [10]

Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически  во все сферы деятельности общества технических средств обработки  и передачи данных и, прежде всего  вычислительных систем. Объектами посягательств  могут быть сами технические средства (компьютеры и периферия) как материальные объекты, а также программное  обеспечение и базы данных, для  которых технические средства являются окружением. Каждый сбой работы компьютерной сети это не только «моральный» ущерб  для работников предприятия и  сетевых администраторов. По мере развития технологий платежей электронных, «безбумажного» документооборота и других, серьезный  сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что  защита данных в компьютерных сетях  становится одной из самых острых проблем в современной информатике. На сегодняшний день сформулировано два базовых принципа экономической безопасности информации необходимой при разработке и принятии УР, которая должна обеспечивать:

- целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных.

- конфиденциальность информации и, одновременно, ее доступность для всех авторизованных пользователей.

Следует также отметить, что  отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, в соответствии с характером и важностью решаемых ими задач.

Для решения проблемы защиты информации необходимой при ФОПУР основными средствами, используемыми для создания механизмов защиты и обеспечения экономической безопасности принято считать:

1. Технические средства - реализуются в виде электрических,  электромеханических, электронных  устройств. Вся совокупность технических  средств принято делить на:

• аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой СОД по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);
• физические - реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

2. Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации.

В ходе развития концепции  защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надежного  сохранения информации. Необходим комплексных подход к использованию и развитию всех средств и способов защиты информации. В результате были созданы следующие способы защиты информации (рис. 3):

1. Препятствие - физически  преграждает злоумышленнику путь  к защищаемой информации (на территорию  и в помещения с аппаратурой,  носителям информации).

2. Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).

Управление доступом включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода , пароля и опознание субъекта или объекта про предъявленному им идентификатору;
• проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию обращений к защищаемым ресурсам;
• реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

3. Маскировка - способ защиты информации с СОД путем ее криптографического. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.

4. Регламентация - заключается в разработке и реализации в процессе функционирования СОД комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в СОД защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение СОД (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала. Занятого обработкой информации.
5. Принуждение - пользователи и персонал СОД вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.[10]

 Рассмотренные способы  защиты информации реализуются  применением различных средств  защиты, причем различают технические,  программные, организационные законодательные  и морально-этические средства.

Рисунок. 3 Способы и средства защиты информации в СОД [10]

Организационными средствами защиты называются организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации СОД для  обеспечения защиты информации. Организационные  мероприятия охватывают все структурные  элементы СОД на всех этапах: строительство  помещений, проектирование системы, монтаж и наладка оборудования, испытания  и проверки, эксплуатация.

К законодательным средствам  защиты относятся законодательные  акты страны, которыми регламентируются правила использования и обработки  информации ограниченного доступа  и устанавливаются меры ответственности  за нарушение этих правил.

К морально-этическим средствам  защиты относятся всевозможные нормы, которые сложились традиционно  или складываются по мере распространения  вычислительных средств в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц. [10]

Готовое к  передаче информационное сообщение, первоначально  открытое и незащищенное, зашифровывается  и тем самым преобразуется  в шифрограмму, т. е. в закрытые текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения дешифрует его (т. е. раскрывает) по средством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям.

Методу преобразования в криптографической системе  соответствует использование специального алгоритма. Действие такого алгоритма  запускается уникальным числом (последовательностью  бит), обычно называемым шифрующим ключом.

Для большинства  систем схема генератора ключа может  представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это  вместе, но в любом случае процесс  шифрования (дешифрования) реализуется  только этим специальным ключом. Чтобы  обмен зашифрованными данными проходил успешно, как отправителю, так и  получателю, необходимо знать правильную ключевую установку и хранить  ее в тайне.

Стойкость любой  системы закрытой связи определяется степенью секретности используемого  в ней ключа. Тем не менее этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.

Современная криптография знает два типа криптографических  алгоритмов: классические алгоритмы, основанные на использовании закрытых, секретных  ключей, и новые алгоритмы с  открытым ключом, в которых используются один открытый и один закрытый ключ (эти алгоритмы называются также  асимметричными). Кроме того, существует возможность шифрования информации и более простым способом —  с использованием генератора псевдослучайных  чисел.

Использование генератора псевдослучайных чисел  заключается в генерации гаммы  шифра с помощью генератора псевдослучайных  чисел при определенном ключе  и наложении полученной гаммы  на открытые данные обратимым способом.

Надежность  шифрования с помощью генератора псевдослучайных чисел зависит  как от характеристик генератора, так и, причем в большей степени, от алгоритма получения гаммы.

Этот метод  криптографической защиты реализуется  достаточно легко и обеспечивает довольно высокую скорость шифрования, однако недостаточно стоек к дешифрованию и поэтому неприменим для таких  серьезных информационных систем, каковыми являются, например, банковские системы.

Для классической криптографии характерно использование  одной секретной единицы —  ключа, который позволяет отправителю  зашифровать сообщение, а получателю расшифровать его. В случае шифрования данных, хранимых на магнитных или  иных носителях информации, ключ позволяет  зашифровать информацию при записи на носитель и расшифровать при чтении с него.