Освіта та самоосвіта

Реферати, дослідження, наукові статті онлайн

Аналіз ризиків в управлінні інформаційною безпекою

Вступ

Захист інформації в системі – діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі. Актуальність проблеми технічно-правового захисту інформації, економічних недоліків чи переваг пов’язана з ростом можливостей комп’ютерної та обчислювальної техніки.

Розвиток засобів, методів і форм автоматизації процесів опрацювання інформації і масове застосування персональних комп’ютерів роблять інформацію найбільш уразливою. Тому особливо гостро постає проблематика захисту інформації від зовнішніх та внутрішніх загроз в умовах інформаційного простору та її правове забезпечення.

В умовах глобалізації інформаційного суспільства проблема інформаційної безпеки набуває все більш соціально значущого характеру. Економічна, соціальна, політична нестійкість і динамічність розвитку інформаційних технологій привели до принципово нових погроз потенційного використання інформаційно-технічних досягнень у цілях, несумісних з підтримкою безпеки інформаційного простору і стабільності функціонування сучасного суспільства. У зв’язку з цим проблеми соціально-інформаційного простору, його безпеки і інформаційних дій, що надаються, є багатоаспектними, що вимагає залучення до їх рішення положень різних наукових напрямів.

Недостатня розробленість, відсутність чітко певного і визнаного теоретико-методологічного апарату вивчення системи інформаційного протиборства, а також дискусійність деяких підходів обумовили актуальність і мету дослідження обраної теми.

1. Аналіз і оцінка ризиків в управлінні інформаційною безпекою

Під інформаційною безпекою будемо розуміти стан захищеності інформаційного середовища підприємства, який забезпечує його функціонування і розвиток в інтересах організації. Управляння інформаційною безпекою – це сукупність заходів, призначених для досягнення і підтримання стану захищеності.

Управління інформаційною безпекою базується на створенні комплексної системи захисту (КСЗІ) на підприємстві. Під комплексною системою захисту інформації будемо розуміти взаємопов’язану сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

Для оцінки залишкового ризику при забезпеченні конфіденційності (ймовірність отримання інформації порушником з розкриттям змісту) подію, пов’язану з порушенням конфіденційності, слід розглядати як складну та таку, що складається з подій:

—   несанкціонованого отримання користувачем інформації тим чи іншим чином з метою ознайомлення з нею чи будь-якого подальшого використання;

—   розкриття змісту інформації з обмеженим доступом (ІзОД) після отримання її тим чи іншим. Останнє слід трактувати як можливість подолання порушником відповідних засобів криптозахисту.

Несанкціоноване отримання користувачем інформації тим чи іншим чином є можливим при умові подолання неавторизованим користувачем засобів захисту у складі:

  1. Організаційного обмеження доступу (контроль доступу та управління доступом до приміщень організаційними засобами, наприклад реалізацією перепускного режиму до будівель чи окремих приміщень та таке інше). Такі дії слід очікувати, скоріше за все, від «терплячих зловмисників» — авторизованих користувачів, які мають атрибути легального доступу до певних приміщень ІТС (наприклад, перепустки чи їх еквіваленти), або від «рішучих зловмисників», які вимушено використовують підроблені атрибути легального доступу до приміщень ІТС;
  2. Охоронної сигналізації (тобто шляхом «обходу» засобів організаційного обмеження доступом. Такі дії слід очікувати, скоріше за все, від «рішучих зловмисників», які мають на меті будь-що порушити ту чи іншу властивість захищеної інформації;
  3. Управління доступу, включаючи засоби управління фізичним доступом (дозвіл чи блокування доступу до приміщень, терміналів, системних блоків, клавіатури та інших фізичних засобів) та адміністрування доступу (адміністрування суб’єктів, об’єктів, побудови і реалізації моделі захищеної системи, розмежування доступу тощо). Такі дії слід очікувати, скоріше за все, від «терплячих зловмисників», які порушують політику безпеки даної послуги навмисно, але без рішучих дій, маскуючись, шляхом підбору атрибутів доступу інших користувачів з метою прихованого подолання засобів управління (адміністрування) доступом до інформації, або від «випадкових порушників» — авторизованих користувачів, які порушують конфіденційність не навмисно, а помилково – шляхом випадкового подолання засобів управління (адміністрування) доступом до об’єкту захисту, виконання непередбачених дій відносно цього інформаційного об’єкту та т.п.;
  4. Засобів канального захисту в телекомунікаційних мережах (ТКМ) (засобів захисту від несанкціонованого доступу із телекомунікаційної мережі до ресурсів даної ЛОМ);
  5. Засобів захисту від вірусних атак (засобів антивірусного захисту).

Розглянуте дозволяє зробити, по-перше, висновок про те, що для забезпечення цілісності за рахунок унеможливлення доступу до інформації та модифікації неавторизованим користувачем змісту інформаційного об’єкту необхідно застосовувати засоби (апаратурні чи програмні) для адміністрування доступу, для контролю цілісності, для управління фізичним доступом, засоби охоронної сигналізації та організаційного обмеження доступом.

По-друге, з останнього виразу витікає необхідність, на відміну від моделі взаємодії засобів реалізації загроз та засобів забезпечення конфіденційності, застосування для забезпечення цілісності інформаційних об’єктів засобів з відповідними механізмами контролю цілісності та замість засобів захисту від витоків – засобів захисту від спеціального впливу. Окрім того, для унеможливлення порушення цілісності за рахунок отримання неавторизованим користувачем доступу до інформації з обмеженим доступом слід застосовувати такі ж засоби управління доступом (апаратурні чи програмні), як і для забезпечення конфіденційності.

Звернемо увагу на те, що із наведеного вище визначення цілісності, як функціональної властивості захищеності інформації, не витікає ніяких часових обмежень щодо тривалості процесу поновлення цілісності, в разі виявлення засобами контролю наявності її порушення. Це дає змогу для забезпеченні цілісності використовувати i ручні методи, наприклад, поновлення  з застосуванням резервних копій інформаційних об’єктів чи шляхом забезпечення відкоту процесів у разі виявлення порушення цілісності.

2. Класифікація ризиків в інформаційній безпеці підприємства

  1. Несанкціонований доступ

Проблеми систем контролю доступу та аутентифікації можуть призвести до успішних атак зовнішніх зловмисників (хакерів) — хакер може отримати доступ до внутрішніх систем підприємства; конфіденційна інформація клієнта може бути перехоплена несанкціонованою третьою стороною; системи та дані навмисно можуть бути викривлені чи порушені/знищені.

Оскільки внутрішні мережі залежать від технологій безпеки, що подібні тим, які використовуються для управління їх зовнішніми системами, необхідно ставитись уважно до управління безпекою внутрішніх мереж — компрометація безпеки внутрішньої мережі може скомпрометувати цілісність і конфіденційність записів і даних клієнтів.

  1. Доступ з перевищенням повноважень

Доступ з перевищенням повноважень означає, що відповідальна особа підприємства має надлишкові права доступу, що не є необхідними для виконання службових обов’язків. Наявність надлишкових прав може бути використана помилково чи навмисно для здійснення доступу, що не є необхідним для виконання службових обов’язків.

1.3. Помилки при аутентифікації чи невідповідна аутентифікація

Через помилки чи невідповідність (слабкість) процедур аутентифікації особа може отримати несанкціонований доступ чи доступ з перевищенням повноважень.

Фальшиві сертифікати ключів електронного підпису, випущені зловмисником від імені підприємства, можуть використовуватися для обману  клієнтів чи з метою шахрайства з електронними коштами/угодами. Сертифікати також можуть видаватись особам, які видають себе за банківських клієнтів, без відповідної перевірки достовірності особи.

Управління інформаційними ризиками — процес виявлення, аналізу та зменшення ризиків інформаційної безпеки, які можуть принести або приносять шкоду інформаційній системі компанії. Завдання управління ризиками включає в себе створення набору заходів (засобів контролю), які дозволяють знизити рівень ризиків до допустимої величини.

Ефективна політика інформаційної безпеки визначає необхідний та достатній набір вимог безпеки. Вона мінімально впливає на продуктивність праці, враховує особливості бізнес-процесів підприємства, підтримується керівництвом, позитивно сприймається й виконується співробітниками підприємства.

Висновки

Інформаційні технології значно розширили можливості бізнесу. Але нові можливості неминуче пов’язані з новими загрозами, які втілившись, можуть призвести до відчутного збитку компанії.

Сучасне поле ведення бізнесу в Україні переповнене ризиками інформаційної безпеки, що динамічно змінюються. Для того, щоб зберегти конкурентоспроможність, необхідно впроваджувати економічно виправдані заходи захисту цінних інформаційних активів, враховуючи безліч чинників. Серед них постійне збільшення кількості електронних злочинів, жорсткі вимоги з боку держави і регуляторів, а також збільшення залежності бізнесу від безперервності роботи інформаційної системи підприємства.

Організація процесу управління ризиками дозволить виявити і мінімізувати інформаційні ризики і представить ряд переваг компанії:

  • Підвищення конкурентоспроможності та безпеки бізнесу в агресивному динамічному середовищі ризиків;
  • Оптимізація витрат на інформаційну безпеку;
  • Визначеність у тому, наскільки потрібно захищати інформаційні активи;
  • Визначеність у тому, як краще досягти прийнятного рівня інформаційної безпеки, і який рівень можна вважати прийнятним;
  • Керівництво зможе приймати правильні стратегічні рішення, беручи до уваги інформацію про актуальні ризики;
  • Інтеграція функцій безпеки в усі аспекти обробки інформації в організації.

Список використаної літератури

  1. Богуш В. Інформаційна безпека держави: підручник / Володимир Богуш, Олександр Юдін,; Гол. ред. Ю. О. Шпак, 2005. — 432 с.
  2. Василюк В. Я. Інформаційна безпека держави: Курс лекцій: Для студентів, які навчаються за спеціальностями » Організація захисту інформації з обмеженим доступом», «Правознавство» / В. Я. Василюк, С. О. Климчук, 2008. — 135 с.
  3. Зацеркляний М. М. Основи економічної безпеки: навчальний посібник / М. М. Зацеркляний, О. Ф. Мельников, 2009. — 337 с.
  4. Інформаційна політика України: Європейський контекст / Леонід Губерський, Євген Камінський, Євгенія Макаренко и др., 2007. — 358 с.
  5. Кормич Б. Інформаційна безпека: організаційно-правові основи: Навчальний посібник / Борис Кормич,, 2005008. — 382 с.
  6. Ліпкан В. А. Інформаційна безпека України в умовах євроінтеграції [Текст] : Навчальний посібник / В. А. Ліпкан, Ю. Є. Максименко, В. М. Желіховський, 2006. — 279 с.
  7. Основи інформаційної безпеки та захисту інформації у контексті євроатлантичної інтеграції України: Науково-методологічний посібник / А. В. Анісімов, В. А. Заславський, О. М. Фаль ; за заг. ред. : В. П. Горбуліна, 2006. — 103 с.
  8. Пєвцов Г. Інформаційна безпека регіону: проблема, концепція та шляхи її реалізації / Геннадій Пєвцов, Олександр Черкасов, 2008. — 135,[1] с.
  9. Правове забезпечення інформаційної діяльності в Україні: закони і законодавчі акти / Володимир Горобцов, Андрій Колодюк, Борис Кормич та ін.; Ред. І. С. Чиж, 2006. — 384 с.