Защита информации в экономических информационных системах

На этапе  планирования формируется система  защиты как единая совокупность мер противодействия различной природы.

По способам осуществления все меры обеспечения  безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные).

Наилучшие результаты достигаются при системном  подходе к вопросам обеспечения безопасности АИС и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.

Очевидно, что в структурах с низким уровнем  правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы.

Результатом этапа планирования является план защиты —документ, содержащий перечень защищаемых компонентов АИС и возможных воздействий на них, цель защиты информации в АИС, правила обработки информации в АИС, обеспечивающие ее защиту от различных воздействий, а также описание разработанной системы защиты информации.

При необходимости, кроме плана защиты на этапе планирования может быть разработан план обеспечения непрерывной работы и восстановления функционирования АИС, предусматривающий деятельность персонала и пользователей системы по восстановлению процесса обработки информации в случае различных стихийных бедствий и других критических ситуаций.

Сущность  этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.

Этап  сопровождения заключается в  контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности.

В том  случае, когда состав системы претерпел  существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных средств), требуется повторение описанной выше последовательности действий.

Стоит отметить тот немаловажный факт, что обеспечение  защиты АИС —это итеративный процесс, завершающийся только с завершением жизненного цикла всей системы.

На последнем  этапе анализа риска производится оценка реальных затрат и

 выигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты приносит очевидный выигрыш, а во втором – лишь дополнительные расходы на обеспечение собственной безопасности.

Сущность  этого этапа заключается в  анализе различных вариантов  построения системы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшему соотношению «эффективность/стоимость»).

Политика  безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно  руководствоваться следующими принципами:

- невозможность миновать защитные средства;

- усиление самого слабого звена;

- невозможность перехода в небезопасное состояние;

- минимизация привилегий;

- разделение обязанностей;

- эшелонированность обороны;

- разнообразие защитных средств;

- простота и управляемость информационной системы;

- обеспечение всеобщей поддержки мер безопасности.

При этом важно ответить на вопрос: как относиться к вложениям в информационную безопасность –как к затратам или как к инвестициям? Если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат является важной для компании проблемой. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Разница в том, что затраты –это, в первую очередь, «осознанная необходимость», инвестиции –это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.

Не следует  забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки.

Кроме того, четкое понимание целей, ради которых  создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ.

Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.

 

Заключение

 

Защита  информации может решаться разными  методами, но наибольшей надежностью  и эффективностью обладают (а для  каналов связи являются единственно  целесообразными) системы и средства, построенные на базе криптографических  методов. В случае использования  иных методов большую сложность  составляет доказательство достаточности  реализованных мер и обоснование  надежности системы защиты от несанкционированного доступа.

Необходимо  иметь в виду, что подлежащие защите сведения могут быть получены "противником" не только за счет проникновения в  ЭВМ, которые с достаточной степенью надежности могут быть предотвращены (например, все данные хранятся только в зашифрованном виде), но и за счет побочных электромагнитных излучений  и наводок на цепи питания и  заземления ЭВМ, а также проникновения  в каналы связи. Все без исключения электронные устройства, блоки и  узлы ЭВМ в той или иной мере излучают побочные сигналы, причем они  могут быть достаточно мощными и  распространяться на расстояния от нескольких метров до нескольких километров. Наибольшую опасность представляет получение "противником" информации о ключах. Восстановив ключ, можно предпринять  успешные действия по завладению зашифрованными данными, которые, как правило, оберегаются  менее серьезно, чем соответствующая  открытая информация. С этой точки  зрения выгодно отличаются именно аппаратные и программно-аппаратные средства защиты от несанкционированного доступа, для  которых побочные сигналы о ключевой информации существенно ниже, чем  для чисто программных реализаций.

Итак, определяющим фактором при выборе и использовании  средств защиты является надежность защиты.

 

Список  литературы

 

1. Титоренко Г.А. Автоматизированные информационные технологии в экономике. М.: ЮНИТИ, 2008.

2. Быкова Е.В., Стоянова Е.С. Финансовое искусство коммерции. М.: Перспектива, 2009.

3.Тихомиров В.П., Хорошилов А.В. Введение в информационный выбор. М.: Финансы и статистика, 2009.

4. Глазьев В.П. Операционные технологии межбанковского финансового рынка. М.: ЮНИТИ, 2009.

5. Ясенев Н.В. Учебно-методическое пособие "Информационная безопасность в экономических системах" 2006.

6 .Кирсанов, К.А. Информационная безопасность: Учеб. пособие - М.: МАЭП, 2000.

7 .Конеев И.Р. Информационная безопасность предприятия - СПб.: БХВ-Петербург, 2003.