- •Раздел 3. Построение и организация функционирования комплексных
- •Систем защиты информации в компьютерных системах.
- •Тема 7.
- •Угрозы информационной безопасности
- •И способы их устранения.
- •1. Что такое информационная безопасность?
- •2. Классификация возможных угроз безопасности.
- •3. Существующие способы устранения угроз.
- •3.1. Совершенствование системы аутентификации пользователей эис.
- •3.2. Защита информации внутри эис при хранении.
- •3.3. Разработка эффективной системы защиты от внутренних угроз.
- •3.4. Концепция управления экономической безопасностью предприятия для ис.
- •3.4.1. Назначение и область применения.
- •3.4.2. Содержание задач управления экономической безопасностью.
3.3. Разработка эффективной системы защиты от внутренних угроз.
Очевидно, что обиженный или недовольный сотрудник компании, имеющий легальный доступ к сетевым и информационным ресурсам и обладающий определенными знаниями о структуре корпоративной сети, может нанести своей компании гораздо больший ущерб, чем хакер, взламывающий корпоративную сеть через Интернет. Этот факт подтверждает и статистика. Так, по различным оценкам, от 50% до 80% атак, направленных на получение информации ограниченного доступа, начинается из локальной сети предприятия (интрасети).
Особенную актуальность проблема внутренних угроз получила в связи с появлением и повсеместным распространением мобильных накопителей информации, подключаемых через USB порты – таких как flash-диски, винчестеры с USB-интерфейсом и т.д. Любой сотрудник компании может практически незаметно пронести на территорию предприятия компактный носитель большого объема и скопировать на него всю интересующую его информацию [5].
Оптимальное решение проблемы – системы, блокирующие порты персонального компьютера, к которым подключаться внешние устройства и возможность гибкой настройки прав доступа на основе списков контроля доступа. Такие системы могут запретить использование внешних накопителей информации, и разрешить подключение каких-либо других внешних устройств, например, USB-ключей для аутентификации пользователей. Существующая возможность записи в журнал неудачных попыток подключения позволит выявить потенциально нелояльных сотрудников на ранних этапах.
Рассмотренные методы и средства преодоления информационной безопасности ЭИС нуждаются в дальнейшем совершенствовании и развитии, но даже относительно простые приведенные способы защиты позволяют существенно снизить риск несанкционированного доступа к информации, возможность ее порчи и кражи, что значительно повышает экономическую безопасность предприятия в целом.
Согласно статистики, более 80% организаций проводят теперь аудит надежности системы информационной безопасности. В 98% компаний для предотвращения нарушений информационной безопасности используются межсетевые экраны, в 97% установлены антивирусы, в 79% - антишпионские программы, в 70% - серверные списки контроля, а в 69% - системы обнаружения вторжений (рис.10).
Источник: исследование 2006 CSI/FBI Computer Crime and Security Survey.
Рис.10 – Применяемые технологии для предотвращения нарушений
информационной безопасности.
В качестве примера реализации информационной системы для анализа экономической безопасности приведем концепцию управления экономической безопасностью предприятия для ЭИС.
3.4. Концепция управления экономической безопасностью предприятия для ис.
Источник: http://reco.ru/arcticls/safety/principle.
В основе концепции управления экономической безопасностью экономического объекта (ЭО) предприятия лежат следующие принципы:
1. В глобальной экономике экономическая безопасность оценивается скоростью увеличения экономических показателей, в первую очередь, собственного капитала. Скорость увеличения экономических показателей должна быть не ниже той, что у конкурентов. Скорость увеличения собственного капитала показатель не только роста, но и развития предприятия.
2. Скорость увеличения собственного капитала – целевой показатель роста и развития предприятия и оценка его экономической безопасности.
3. Необходимое условие управления экономической безопасностью – наличие математической модели (ММ) ЭО.
4. ММ должна быть адекватной ЭО и обеспечивать наблюдаемость по выходу и управляемость его по входу. ММ также должна обеспечивать аналитическую формулировку зависимости цели от вредных воздействий (угроз), снижающих экономическую безопасность.
5. Проблема построения адекватной ММ – это проблема разложения цели на параметры бизнеса, описывающие как угрозы, так и средства защиты от них.
6. Существующие подходы к построению ММ на основе показателей бухгалтерского описания или само это описание не удовлетворяют требованиям наблюдаемости, управляемости и декомпозиции цели.
7. В рассматриваемой концепции использован новый класс рациональных ММ, отражающих механизмы функционирования ЭО в среде экономики и удовлетворяющий предъявляемым требованиям. Рациональные ММ отражают угрозы и средства защиты от них.
8. Рациональные ММ обеспечивают 3-х уровневое разложение цели на параметры и показатели бизнеса. Совокупность параметров обладает функциональной полнотой, что обеспечивает однозначное соответствие цели и формирование оценок значений параметров по критериям экономической безопасности. Слой показателей бизнеса также однозначно соответствует параметрической ММ.
9. Для оценки экономической безопасности используются показатели эффективности бизнеса, «уязвимости» и «живучести» бизнеса.
10. Показатели бизнеса рассматриваются как интегральные показатели бухгалтерского описания, что позволяет установить между ними достаточное соответствие.
11. Управление экономической безопасностью – это управление бизнесом по номинальным параметрам, обеспечивающим номинальную скорость увеличение собственного капитала.
12. Задачи управления экономической безопасностью:
- определение номинальных значений скорости увеличения собственного капитала и параметров бизнеса;
- назначение плановых значений скорости увеличения собственного капитала и параметров бизнеса как эталонов поведения;
- оценка плановых значений параметров по критериям экономической безопасности: показатели эффективности и «живучести» бизнеса.
Анализ плановых угроз и средств защиты:
- расчет плановых значений интегральных показателей как эталонов бухгалтерского описания;
- выдача директив по плановым значениям цели и эталонов поведения;
- анализ отчетов в виде фактических интегральных показателей бизнеса, построенных по фактическому бухгалтерскому описанию;
- расчет фактических значений параметров бизнеса, сравнение с плановыми и номинальными значениями;
- оценка фактических значений параметров по критериям экономической безопасности: показателям эффективности и «живучести» бизнеса; анализа угроз и средств защиты;
- расчет фактических значений скорости увеличения собственного капитала, сравнение с плановыми и номинальными значениями;
- выявление «узких мест», выработка управлений, направленных на минимизацию отклонений.
13. Управление экономической безопасностью – это оперативное управление скоростью увеличения собственного капитала, которое может выполняться ежедневно, еженедельно, ежемесячно и т.д. В отличие от аудита на ввод и обработку управленческой информации требуется несколько минут.
14. Концепция управления экономической безопасностью позволяет реализовать идею «пульта управления бизнесом».
ИС экономической безопасности должна обладать следующими характеристиками (ИС поддержки управления экономической безопасностью предприятия).