Оценка защищенности информационных ресурсов и управление защитой информации.
Выполнил: студент группы 03-432 Лазарев И.А.
Московский авиационный институт (Государственный Технический Университет)
Москва, 2009г.
Введение
Выбор темы «Оценка защищенности информационных ресурсов и управление защитой информации» объясняется ее актуальностью на данный момент времени развития высоких технологий, что в свою очередь, упрощает удаленный доступ к информации организаций с помощью специальных технических устройств. На протяжении всей истории одни тратили свою жизнь, силы и интеллект на создание новой техники, а другие – на противоправное их использование. Не стал исключением и компьютер.
Представители промышленных и финансовых структур западных стран отмечают, что общее усиление компьютерной преступности в бизнесе (особенно в кредитно-финансовой сфере) напрямую связано с такими характеристиками Интернета, как легкая подключаемость к этой сети и возможность анонимного выполнения тех или иных незаконных действий.
Информация всегда играла в жизни человека очень большую роль, но с середины 20-го века в результате социального прогресса и прорыва в развитии науки и техники роль информации неизмеримо возросла. В мире информация схожа с лавинообразным нарастанием массы, получившей название «информационного взрыва». Информация является основой для принятия управленческих решений.
Угрозы, исходящие из различных источников, будучи неподконтрольными со стороны предприятия, могут оказывать дестабилизирующее воздействие на его деятельность. Например, бездействие в сфере защиты информации может привести к нарушению коммерческих интересов организации, вплоть до нанесения ему невосполнимых экономических потерь; снижения деловой активности или способности организации выступать в качестве конкурирующей стороны на товарных рынках; лишение предприятия научно-технического приоритета в соответствующих областях его деятельности; потеря деловой репутации и т.д.
«Информация – это интеллектуальная собственность, товар, сведения. «Кто владеет информацией – тот владеет миром», - писал У. Черчилль. По данным журнала «Business-week» (США), утеря и хищение информации на фирме IBM за последние 10 лет оценивается в 1 млрд. долл. упущенной прибыли».
Одним словом, чтобы выжить организации необходимо как можно лучше обеспечить безопасность своей информации (о физических и юридических лицах, передовых технологиях, экономической и финансовой ситуации и т.д. и т.п.), которая является одним из условий конкурентной способности. Очевидно, что чем выше защита, тем выше выживаемость.
Цель курсовой работы – систематизация, закрепление, расширение и углубление теоретических и практических навыков самостоятельного анализа и обобщения накопленных знаний по теме «Оценка защищенности информационных ресурсов и управление защитой информации» дисциплины «Информационный Менеджмент».
Объектом анализа в данной курсовой работе выступает экономическая оценка ущерба реализации угроз информационной безопасности (анализ риска) на примере Альфа-банка.
Информационной базой для написания работы послужила периодическая и научная литература (см. «Список литературы»), а так же бескрайние просторы Интернета.
Методика исследования курсовой работы включает в себя ознакомление со всеми вопросами, связанными с соответствующими разделами, иллюстрирующими проблематику выбранной темы по дисциплине «Информационный Менеджмент». Основными этапами методики можно выделить поиск, изучение, закрепление на практике реальных организаций материала и анализ полученных данных.
Раздел 1. Понятие «защита информации»
1.1 Правовое обеспечение
Согласно Гражданскому кодексу Российской Федерации (ст. 139), действующему с 1 января 1995 г. «лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки».
Регламент использования информационного пространства и защита информации от несанкционированного доступа отражены в Федеральном законе «Об информации, информатизации и защите информации» № 24-ФЗ от 20 февраля 1995 г. Необходимо раскрыть некоторые термины, взятые из вышеназванного закона:
«Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
информатизация - организационный социально - экономический и научно - технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;
документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию;
собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения указанными объектами;
владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных Законом;
пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею».
Необходимо также отметить, что защите подлежит любая документированная информация согласно Закона.
В следующем подразделе речь идет о предмете защиты информации, т.е. то, что необходимо защищать от внешних и внутренних угроз с целью эффективного использования информации организацией.
1.2 Информационные технологии
Мильнер Б. З. разделяет современные информационные технологии на три составляющие: аппарат управления, информационную систему организации и электронный бизнес. Подробное рассмотрение этих составляющих приведено ниже.
1.2.1 Аппарат управления
Основная роль любого аппарата управления (контора, офис) в обработке информации подобно промышленному предприятию, занимающемуся обработкой и производством материалов.
Получение информации аппаратом может происходить в различных формах, в таких же формах офис производит ее (данные, выдаваемые компьютером в электронной форме; устная информация, передаваемая по телефону, часто в электронной форме).
Между процессом получения и распространения информации аппарат выполняет ряд следующих действий, а именно: преобразование информации (например, информации о продажах в информацию о полученной прибыли и выполненной работе), объединение информации (например, информации о продажах с информацией о товарно-материальных запасах), накапливание информации (например, информации о продажах для составления отчетов о доходах различных периодов).
Как правило, аппарат управления производит и другую важную продукцию – решения, как местного и оперативного характера (наем и увольнение работников, изменение цен) и долгосрочного стратегического характера (расширение предприятия, инвестициями).
Таким образом, «аппарат управления – это «фабрики, обрабатывающие информацию», с выходом продукции двух типов: информации (данные, документы, устная информация) и решений (краткосрочных и долгосрочных). В отдельных случаях аппарат управления специализируется в одной из этих областей. К звеньям аппарата, производящим продукцию первого типа (информации), относятся: подразделения, которые занимаются подготовкой технических инструкций; бухгалтерия и финансовые подразделения; подразделения, подготавливающие информацию для общественности. К звеньям аппарата, основной продукцией которых является производство решений, относятся: подразделения по управлению производством; подразделения по управлению продажами; аппарат высшего руководства. Звенья аппарата, производящие продукцию и того и другого типа, включают: технические подразделения; офисы, занимающиеся кадровыми вопросами; маркетинговые подразделения.
Одной из задач, стоящей перед руководством такой «фабрики информации», является продуктивность, т.е. увеличение стоимости решений на единицу затрат (гармоничное сочетание числа решений, их качества и своевременности).
Оценить продуктивность довольно сложно. Определенный интерес представляет ранжирование информации, используемой в организациях в условиях рыночной экономики и названной интересом руководителей к деловой информации (см. приложение).
Нелишне рассмотреть техническое оснащение управленческой деятельности, которая может включать: оргтехнические блоки (компьютер совместно с оргтехникой) которыми укомплектованы практически все сотрудники от рядового до руководителя; программы, обеспечивающие взаимодействие человека и машины; коммуникационные сети, связывающие между собой и с центральными процессорами (сервер), а также с внешними источниками информации; устройства совместного пользования (электронные файлы, печатающие и сканирующие устройства, доступные всем оргтехническим блокам через линию связи (Интернет)).
Компоненты оргтехнического блока зачастую отличаются основными параметрами (объем физической памяти, диагональ монитора, оперативная память, скорость передачи данных по Интернету и т.д.) между рядовыми сотрудниками (клерками) и стоящими на позицию выше на иерархической лестнице специалистами и управляющими.
Эволюцию аппарата управления можно проследить, начиная с древних цивилизаций до наших дней. Более 150 лет назад картину офиса можно было описать приблизительно так: перо, чернильница, бухгалтерская книга, а средство связи – личный посыльный или пакетная служба. База для принятия решения – счета.
В четвертой четверти девятнадцатого века прогресс связан с появлением пишущей машинки на широком рынке. Но широкое распространение она получила с появлением телефона, телеграфа, телекса и телетайпа, а также с организации государственной почтовой системы и железных дорог. В результате чего значительно повысилась продуктивность аппарата управления и произошли изменения в аппарате организации управления и его функциях, т.е. создались предпосылки для развития современной бюрократичной организации, крупных корпораций, госорганов, потому что он обеспечивал их жизненно важной информацией и средствами для обработки документов.
В середине двадцатого века, после индустриальной революции, стали широко применяться электрические пишущие машинки с заменяемыми головками, копировальные устройства, работающие с ординарной бумагой, портативные диктофоны и факсимильные устройства. Оперативность передачи информации существенно повысилась, как и качество документов. Все эти нововведения повысили уровень делопроизводства. Продуктивность аппарата производства улучшилась.
Таким образом, с модернизацией технического оснащения аппарата управления повышается его продуктивность, и происходят изменения в организации управления и функциях.
1.2.2 Информационная система организации
В настоящее время компании применяют информационные технологии для совершенствования методов работы, что влечет за собой изменение организационной структуры, разработка новой организационной взаимосвязи, которые ранее экономически были невозможны. Поэтому информационные технологии являются весьма перспективной и эффективной сферой для капиталовложений. Принципиальная схема построения и взаимодействия основных элементов современной информационной системы организации приведена на рис. 1.1.
В результате изменения в организации и технике управления под влиянием информационных технологий и автоматизированных офисов радикально меняются организация и техника обеспечения руководителя. Особое внимание уделяется массовой компьютеризации информационных систем, связанных с сетью банков данных. При этом работа по сбору, обработке и распространению информации осуществляется удобными интерфейсами все реже требующими специальной подготовки. Также существенно меняется техника хранения и обработки информации, автоматизируются системы принятия, упорядочения, хранения и передачи ее, в которых поддерживается чистота информационных каналов и не допускается неполнота информации, дублирование и ввод, рассчитанной на другие уровни управления.
Осуществляется автоматизация отдельных функций руководителя охватывающих производство, хозяйственную деятельность, организационно-технологические процессы и т.п., все большая часть работы при составлении планов доверяется компьютеру, в результате чего существенно повышается качество и четко согласуются планы для отдельных подсистем системы управления. Системы контроля также совершенствуются и, в некоторых случаях, дают возможность обнаружить отклонения от запланированного уровня с обнаружением причин возникновений этих отклонений.
Рис. 1.1. Современная информационная система организации.
Существенно изменяются и средства коммуникации, не считая обмена сообщениями через сеть. Особое значение приобретает система телекоммуникаций, которая дает возможность проведения заочных совещаний, видеоконференций, телемостов и т.п. (участники которых могут находиться в разных частях света), оперативной передачи информации. Соответственно меняются методы и техника коммуникационных отношений руководителей с подчиненными и вышестоящими органами управления.
Автоматизированный офис предъявляет новые требования к деловым качествам руководителей, среди которых – умение и навыки пользоваться сложной техникой управления, определять стратегию развития системы, руководить коллективом, мотивировать и направлять его деятельность в конструктивное русло, а также разрешать конфликты, оперативно реагировать на возникновение проблемных ситуаций, четко обосновывать принятые решения, своевременно доводить их до исполнителей.
«При обучении кадров большое внимание в настоящее время уделяется так называемым корпоративным системам, т.е. комплексным информационным системам управления предприятиями. Находясь на своем рабочем месте, управляющие получают необходимую информацию по новым изделиям, производству, поставкам, финансам, экономике и др. появление персональных компьютеров, которые могут быть подключены к другим ЭВМ, значительно расширило возможности использования баз данных конкретными пользователями для оперативного получения необходимой информации из больших ее массивов. Персональная ЭВМ дает возможность получать сопоставимые данные, отслеживать динамику изменения показателей, в том числе и графическом виде».
Анализируя развитие информационных сетей, становится понятно, что темпы развития происходят в геометрической прогрессии. Например, только в 70-х годах прошлого века компьютеры впервые стали использоваться в управлении организациями через терминалы, соединенными телефонными линиями с центральным компьютером. В 1980 - 1990-е годы цены на компьютеры постепенно снижались за счет быстрого развития микроэлектроники. Размеры также сокращались и появилась реальная возможность использовать их не только в каждом офисе, но и на каждом рабочем месте. Наряду с удешевлением компьютерной техники она становится более многофункциональной, мощной и эффективной.
Появление современного компьютера привело к дальнейшему изменению технического оснащения аппарата управления и рождению его нового типа - «электронного офиса», отличительной чертой перехода к которому является получение возможности использовать технику для обработки содержания информации.
Компьютер (в отличие от телефона, факсимильного аппарата, копировальной машины) меняет содержание поступающей в него информации в соответствии с программой. Это может трансформировать некоторые из видов деятельности, практических навыков и методов работников офиса любого уровня. В целом структура потоков информации и механизмов ее переработки анализа представлена на рис. 1.2.
 |
Рис. 1.1. Современная информационная система организации.
Благодаря разнообразным информационным потокам каждое предприятие имеет возможность мгновенно узнавать о состоянии спроса и предложения, о других параметрах хозяйственной деятельности, ориентироваться на различных рынках (труда, сырья) и т.п. Таким образом, производство экономит расходы на персонал, занятый в промежуточных звеньях, складирования и т.д. Компьютеры, информационные сети, системы связи непосредственно влияют на протекание и интеграцию производственных, обслуживающих и технологических процессов в подразделениях предприятия и повышения конкурентоспособности.
Информационными сетями создаются реальные предпосылки для формирования целого ряда новых принципов управления в соответствии с изменениями внешней и внутренней сред предприятия. Например:
- возникновения равноправия между начальником и подчиненным;
- по возможности обеспечить всем сотрудникам иметь доступ к любой информации предприятия;
- разделение труда с образованием команд, работающих над определенным проектом, либо с определенным заказчиком или классом клиентов;
- целостность предприятия поддерживается за счет создания сети команд;
- работа ведется в реальном времени, параллельно в нескольких направлениях в интерактивно-коммуникационном виде;
- создаются технико-организационные условия для формирования удаленных звеньев, члены которых могут находиться в различных географических точках планеты.
По данным, которые приводит Мильнер Б. З. в соответствии с федеральной целевой программой «Электронная Россия» число компьютеров и объем информационного сервиса в стране к 2010 году вырастет в 5-6 раз. Число пользователей сети Интернет в России в 2000 году составляло 2.5 миллиона человек; по оценке специалистов к 2010 году достигнет 26.1 млн. человек. Плотность пользователей Интернета на 100 жителей в 2000 году составила 1.7%; по прогнозу к 2010 году составит до 17.9%.
«В ближайшие годы услуги передачи данных и доступа в Интернет будут самым быстро растущим сегментом рынка телекоммуникаций, прогнозирует замминистра информтехнологий и связи Дмитрий Милованцев. Если в 2004 г. объем Интернет-рынка составлял 30,7 млрд. руб., то в 2005 г. – уже 38, 5 млрд. руб., указывает он. В 2006 г. эта цифра достигла, по оценке министерства, 48,5 млрд. руб., а в 2008 г. – 74,6 млрд. руб., причем рост будет происходить в основном за счет услуг широкополосного доступа».
Использование информационных технологий, сети Интернет и всех видов сетевой организации, большого числа компьютерных программ не только не позволяет оперативно получать информацию и принимать управленческие решения, но и вызывает множество коренных организационных изменений, выражающихся в сокращении бюрократического аппарата, пересмотре традиционных взглядов на роль и механизм эффективной связи корпораций, открытии безграничных возможностей финансовых рынков, инвестировании, интеграции персонала. С Интернетом связаны диффузионизм знаний, их доступность в любой точке планеты, увеличение темпов роста производительности физического и умственного труда. Экономический и управленческий потенциал организации во все большей степени зависит от способности управляющих контролировать информацию, манипулировать ею, защищать ее и нацеливать ресурсы персонала в конструктивное русло.
1.2.3 Электронный бизнес
С развитием информационных технологий и расширением сферы использования сети Интернет растет влияние на управление компаниями благодаря появлению новых возможностей для привлечения и сбора денежных средств, распространения информации об опыте управления, методах принятия решений и т.п. мало того, Интернет ведет к глобальной финансовой трансформации (существенно снижается стоимость сбережений и заимствований; инвестиционный капитал дешевеет по мере получения людьми прямого доступа к рынкам; эффективно продвигаются заемщики и инвесторы на глобальные рынки). Скорость финансовых потоков увеличивается, меняются рынки капиталов, вся финансовая система становится более «понятной».
Каждая организация (и даже школьник – примечание автора) имеет возможность создать свой сайт в сети Интернет, который в свою очередь открывает новые возможности по многим направлениям деятельности компании, например: отслеживание статистики посещения сайта; создание мультимедийного имиджа; создание различных баз данных (заказчиков и поставщиков); осуществление электронных платежей; создание информационного бюро и т.д.
Использование на практике таких возможностей формирует новые модели ведения бизнеса, а вместе с ними и новые принципы управления им. В сети Интернет электронный бизнес осуществляется в виде продаж и закупок товаров и услуг, а также в других случаях, где используются средства автоматизации бизнеса и глобальные сети, проникающий во все сферы деловой активности благодаря безналичной электронной оплате товаров и услуг и применению глобальных сетей для проведения операций по всему миру. Интернет – новый рынок потребителей, наиболее быстро растущий за всю историю экономики.
«Под электронным бизнесом подразумеваются любые формы сделок, которые проводятся с помощью информационных сетей. Первые стандарты для проведения сделок электронного бизнеса появились еще в 1968 г. Формат, известный как Electronic Data Interchange (EDI), позволял компаниям технически осуществлять сделки и операции, но был слишком несовершенным и, главное, малораспространенным. Появление в 1994 г. браузера Netscape, позволяющего перемещаться по сети с помощью щелчка «мыши», изменило ситуацию. Теперь не обязательно быть программистом для выхода в сеть. В 1998 г. в США объем продаж предприятий, ведущих бизнес только в Интернете, стал сравним с продажами корпораций, не занимающихся электронной коммерцией. Компания Amazon.com преодолела барьер в 1 млрд. долларров годовых продаж».
Бизнес-модели предприятий электронной коммерции вместе с примерами представлены в таблице 1.1. Данные модели принято классифицировать по двум характеристикам: типам участников большинства сделок и способом получения прибыли предприятием электронного бизнеса (конечные потребители (customers) и компании (business)).
| № Модели | Способ получения прибыли | Участники | ||
| С2С | В2С | В2В | ||
| Прямые продажи | Личные сайты | Интернет-магазины | Корпоративные сайты | |
| Пример | www.Cb.ru www.ashg.ru www.uportal.ucoz.ru | Магазин 24×7.ru продает книги, игрушки, аудио- и видеопродукцию. Средняя посещаемость – 7 тыс. чел. в день. | www.microsoft.com www.ICB.com | |
| Посреднические услуги, % от операций | Интерент-аукционы | Торговые площадки | Электронные биржи | |
| Пример | molotok.ru – ведущий Интернет-аукцион в России. В проекте ежедневно участвует 140 тыс. пользователей, предоставлено около 50 тыс. лотов; оборот аукциона – 800 тыс. долл. | torg.ru – обслуживает 3 тыс. посетителей в день. На ее сайте размещены 150 тыс. товаров от 150 интернет-магазинов; в день производятся покупки на 40 тыс. долл. | factura.ru – обслуживает более 1500 предприятий из 72 регионов России. Участники – поставщики, покупатели и банки. |
Табл. 1.1. Основные бизнес-модели предприятий электронной коммерции.
Способы получения прибыли предприятиями электронного бизнеса тоже делятся на два типа: от посреднических услуг и от прямых продаж.
Под термином В2В (business to business, 2 по англ. two и произносятся с частицей to одинаково) подразумеваются операции электронного бизнеса, в которых участвуют предприятия и компании. В этом сегменте обращаются товары и услуги, которые компании продают друг другу и конечным потребителям которыми они, в конечном счете, не являются.
Первая модель С2С «потребитель – потребитель» - это бизнес-модель, которая подразумевает получение прибыли от прямых продаж через личные Интернет-сайты, благо они позволяют их создателям распространять информацию, в том числе и коммерческого характера. Объем рынка таких продаж оценить невозможно.
Вторая модель С2С «потребитель – потребитель» - это бизнес-модель, ориентированная на получение прибыли от посреднических услуг, оказываемых в большинстве случаев физическими лицами. В связи с развитием электронных сетей, что послужило стимулятором для развития сервиса и бизнес-моделей, стали появляться виды бизнеса, основанные на посредничестве. В Интернете можно встретить много коммерческих рассылок, платных досок объявлений, а также компаний, занимающихся осуществлением электронных платежей и онлайн-аукционов (см. табл. 1.1).
Первая модель В2С «бизнес – потребитель» - это бизнес-модель, при которой участникам сделки являются компания, оказывающая услугу, и конечный потребитель. Здесь можно выделить наиболее часто встречающегося представителя этой модели – Интернет-магазиин. Достоинствами такого вида бизнеса можно назвать: экономия времени потребителем, возможность, невзирая на расстояние заказать практически любой товар, не выходя из дома.
Недостатки: затраты на поддержание программного обеспечения, развитие функциональности сайтов, схемы логистики без использования складских помещений не выдерживает конкуренции с традиционными торговыми системами.
Вторая модель В2С «бизнес – потребитель» - это бизнес-модель предприятия, получающего прибыль от посреднических услуг, оказываемых юридическим лицам, ориентированным на розничную продажу товаров конечному потребителю. Электронные торговые площадки – аналог гипермаркетов и рынков. Концепция таких предприятий проста – размещение товаров традиционных магазинов в электронной торговой системе. Следовательно, доход – платное размещение участков в торговой системе и получение процента со сделок, совершаемых на торговой площадке. Основные проблемы связаны с неразвитостью электронных платежей, необходимых для развития бизнес-модели.
Первая модель В2В «бизнес – бизнес» - это бизнес-модель, ориентированная на получение прибыли от прямых продаж юридическим лицам через корпоративный сайт. Представительство в Интернете – атрибут любой уважающей себя компании. Примеры моделей В2В, осуществляющих с помощью корпоративных сайтов – это прямые продажи товаров, услуг, работ компаниям-контрагентам и работа с дистрибьюторами (торговыми посредниками).
Вторая модель В2В «бизнес – бизнес» - это бизнес-модель предприятия, получающего прибыль от посреднических услуг, оказываемых юридическим лицам, ориентированным на оптовую продажу товаров или услуг другим юридическим лицам. В реализации этих моделей лидируют такие отрасли как нефтегазовая, металлургическая и машиностроительная отрасли. Электронные биржи (см. табл. 1.1) выступают как самостоятельные предприятия, не опирающиеся на поддержку и независимы от участников рынка, которыми являются отраслевые компании и фирмы. Электронные биржи предоставляют участникам бирж комплекса услуг, тем самым, уменьшая транзакционные издержки, связанные с услугами посредников. Менеджменту бирж вменяется в обязанности создание бизнес-сообщества в виртуальной среде.