Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Информация и экономическая безопасность - концепция, защита и характер рисков

Информация и экономическая безопасность - концепция, защита и характер рисков

Содержание:

Информация больше не является просто необходимым инструментом для создания материальной ценности, а приобрела материальную ценность, которая четко определяется фактической прибылью, полученной в результате ее использования, или размером вреда, причиненного владельцу информации. Развитие технологий и отраслей для сбора, обработки, анализа информации и предоставления ее в распоряжение конечного пользователя сопряжено с рядом проблем. Одной из таких проблем является надежное обеспечение безопасности и установленного статуса информации (актуальность, полнота, последовательность, конфиденциальность), циркулирующей и обрабатываемой в информационных и компьютерных системах и сетях, а также безопасности самих систем и технологий.

Современное развитие информационных технологий, и в частности технологий Интернет/Интранет, приводит к необходимости защиты информации, передаваемой в рамках распределенной сети предприятия, использующего сети открытого доступа. Эта проблема не так актуальна при использовании собственных закрытых каналов физического доступа компании, как доступ закрыт для посторонних лиц в этой сети. Однако не каждая компания может позволить себе выделенные каналы. Следовательно, это связано с тем, что имеется в распоряжении компании. Большую часть времени это интернет. Поэтому нам необходимо найти способы защиты конфиденциальных данных, которые передаются по практически незащищенной сети.

Безопасность информационных технологий (ИТ) и систем (ИС) является одной из важнейших составляющих проблемы экономической безопасности организации. Переход к новым формам управления и хозяйственной деятельности в России в условиях несовершенной и противоречивой правовой базы создал ряд проблем в сфере данных, информации, знаний и самих ИКТ. Это особенности установления рыночных отношений, отсутствие обоснованных концепций реформ, отсталость в применении современных информационных технологий в управлении и производстве. Обострение этих проблем выдвинуло на первый план вопросы национальной, социальной и корпоративной безопасности, в том числе информационной.

В 1983 году Министерство обороны США опубликовало "Оранжевую книгу", Критерии оценки доверенных компьютерных систем. - США, Министерство обороны, 5200.28-STD, 1993], ознаменовавшее начало систематического формирования знаний в области информационной безопасности (ИБ) вне государственных органов.

Во второй половине 1980-х годов аналогичные документы были выпущены в ряде европейских стран [Критерии оценки безопасности информационных технологий (ITSEC)]. Согласованные критерии Франции-Германии-Нидерланды-Соединенное Королевство. - Департамент торговли и промышленности, Лондон, 1991].

В России Государственная техническая комиссия при Президенте РФ (Гостехкомиссия РФ) в 1992 году выпустила серию документов, посвященных проблеме защиты от несанкционированного доступа.

Концепции безопасности бизнеса и информации. Ключевые вопросы ИБ

"Оранжевая книга" и последующие подобные публикации были ориентированы в первую очередь на разработчиков программного обеспечения и информационных систем на предприятиях, а не на пользователей или системных администраторов. Динамичное развитие компьютеров, компьютерных технологий и их широкое использование в бизнесе показали, что информационная безопасность является одним из важнейших аспектов комплексной безопасности на всех уровнях - национальном, корпоративном или личном. Можно привести несколько примеров, чтобы проиллюстрировать этот момент.

В 2012 году в США был опубликован ежегодный доклад "Компьютерные преступления и безопасность: проблемы и тенденции: Обзор компьютерных преступлений и безопасности 2012 года CSI/FBI". В отчете отмечается рост числа компьютерных преступлений (39% респондентов). Информационные системы 28% респондентов были взломаны внешними злоумышленниками. В общей сложности 77% респондентов подверглись атакам через Интернет, а 59% респондентов сообщили о нарушениях со стороны собственных сотрудников. Большое количество компаний (31%) вообще не рассматривают безопасность своих компьютерных и сетевых систем, полагаясь на модули безопасности компьютерных программ и приложений. В аналогичном отчете, опубликованном в апреле 2013 года, тенденция осталась прежней:

  • 90% респондентов (в основном из крупных предприятий и государственных учреждений) сообщили о том, что за последние 12 месяцев в их организации имели место нарушения информационной безопасности;
  • 78% сообщили о значительных финансовых потерях в результате этих нарушений;
  • 49% убытков составили более 640 миллионов долларов.

Согласно совместному исследованию, проведенному в 2012 году Институтом информационной безопасности США и ФБР, потери от компьютерных преступлений составили более 900 миллионов долларов США, что на 34% больше, чем в 2011 году, причем каждое компьютерное преступление причинило ущерб в размере примерно 200-300 тысяч долларов США. Убытки крупных компаний, вызванные компьютерными вторжениями, продолжают расти, несмотря на растущие затраты на безопасность ("Неделя Интернета", 2013 г.).

Согласно исследованию Gartner Group, наибольший ущерб был нанесен манипуляциями с доступом к внутреннему информационному пространству: кража данных и информации из корпоративных сетей и баз данных, подделка информации, подделка электронных документов, промышленный шпионаж. Помимо роста числа внешних атак, в последние годы резко возросло распространение вирусов через Интернет.

Однако рост числа атак и распространение вирусов - не самая большая проблема - постоянно обнаруживаются новые программные уязвимости. Национальный центр защиты инфраструктуры США (NIPC) сообщает, что в период с 2000 по 2012 год были выявлены десятки значительных проблем с программным обеспечением, где риск был оценен как средний или высокий. "Затронутые" операционные системы включают в себя практически все варианты Unix, Windows, Mac OS и .NET. В таких условиях специалисты и системы информационной безопасности должны быть способны противостоять внешним и внутренним угрозам, выявлять проблемы в системах защиты программного обеспечения и разрабатывать соответствующие меры по компенсации угроз и снижению рисков на основе соответствующей политики.

При анализе вопросов, связанных с информационной безопасностью (ИБ), необходимо учитывать специфику данного аспекта безопасности, которая заключается в том, что информационная безопасность является неотъемлемой частью разработки, внедрения и эксплуатации информационных систем и технологий - сферы, которая развивается беспрецедентно высокими темпами.

К сожалению, современные технологии программирования не позволяют создавать полностью безошибочные и безопасные программы. Поэтому можно предположить, что необходимо создавать надежные ИБ-системы с программными компонентами (программами), которые не стопроцентно надежны!

В принципе, это возможно, но требует соблюдения определенных принципов архитектурного проектирования программных комплексов и контроля за состоянием безопасности программных аппаратных средств, телекоммуникационных устройств и сетей на протяжении всего жизненного цикла ИБ.

Экономическая безопасность - это состояние защищенности хозяйствующего субъекта от вредного воздействия внутренних и внешних факторов общественной жизни.

Место информации в системе экономической безопасности

Любой рационально мыслящий субъект, участвующий в экономических отношениях, обеспокоен своей экономической безопасностью. Речь идет о степени развития этого субъекта и наличии у него способности отражать угрозы из внутренней и внешней среды, а также об успешной адаптации к изменяющимся условиям общественной жизни.

Экономическая безопасность - это сложное явление, отражающее различные стороны деятельности экономических субъектов. В последние десятилетия роль информации, информационных ресурсов и источников информации в этой деятельности резко возросла. Кроме того, по мнению некоторых социологов, человечество (по крайней мере, наиболее развитые страны) вступило в информационный век своего развития.

В этих условиях экономические агенты должны уделять больше внимания такому компоненту экономической безопасности, как информационная безопасность. И состоит она в обеспечении собственной защиты от так называемых информационных рисков.

Защита от угроз информационной безопасности

Набор согласованных процедур, мероприятий, мер по снижению издержек хозяйствующего субъекта, вызванных воздействием информационных рисков, обычно называют управлением информационной безопасностью. Она заключается в обеспечении защиты от угроз информационной безопасности, т.е. в снижении информационных рисков.

Управление информационными рисками является одним из актуальных вопросов экономической безопасности. Экономическая значимость информационного риска, описанного выше, позволяет применять экономические методы управления этим риском. Поэтому профессионалы и руководители всех уровней должны быть непосредственно вовлечены в процесс управления информационной безопасностью и связанными с ней рисками, причем ведущую роль в этом процессе должно играть высшее руководство.

Управление информационными рисками и информационная безопасность включают в себя следующие задачи:

  • Идентификация информационных рисков;
  • Анализ информационных рисков;
  • Разработка основных принципов и направлений политики управления информационными рисками;
  • Создание системы управления информационными рисками с оптимизацией затрат на обслуживание;
  • Устранение причин и факторов высоких информационных рисков;
  • Создать механизмы оценки и снижения ущерба, вызванного воздействием информационных рисков;
  • Постоянный мониторинг, периодический обзор, оценка эффективности и совершенствование системы управления информационными рисками.

Таким образом, решение указанных выше задач по управлению информационными рисками (которые должны решаться под руководством топ-менеджеров бизнес-единицы) значительно повысит уровень информационной безопасности данного подразделения.

Характер информационных рисков

Как правило, под риском понимается возможность или вероятность наступления событий, которые приведут к неблагоприятным последствиям для определенных групп людей в результате определенных решений или действий. Хотя риск в терминологическом смысле подразумевает возникновение позитивных событий, этот смысл часто игнорируется при изучении рисковых ситуаций.

Информационный риск (или, как его называют, угроза информационной безопасности) обычно понимается как возможное событие, приводящее к несанкционированному удалению, фальсификации, нарушению конфиденциальности или доступности информации. Для бизнеса борьба с такого рода угрозами имеет решающее значение для обеспечения успешного ведения бизнеса.

Хозяйствующие субъекты разрабатывают собственные способы организации производства и реализации продукции в рамках действующего законодательства, что позволяет им получить конкурентное преимущество перед другими операторами рынка. Когда информация об этих методах становится общедоступной, они используются всеми производителями и дистрибьюторами такой продукции. Таким образом, конкурентное преимущество хозяйствующего субъекта как таковое исчезает, и он несет убытки в виде упущенной прибыли.

Поэтому существует объективная потребность в управлении информационными рисками, т.е. в защите информации, находящейся в распоряжении конкретного хозяйствующего субъекта, от злоумышленных действий. В то же время следует понимать, что в большинстве случаев информационный риск - это случайное событие, возникновение которого в данной ситуации достаточно сложно предсказать.

Реализация информационного риска означает для субъекта хозяйствования снижение качества его информации, что приводит к (прежде всего, к финансовым) убыткам. В этом случае необходимо отметить, что качество информации определяется следующими показателями:

  • Конфиденциальность;
  • Надежность;
  • Полнота;
  • Дублирование;
  • Своевременность;
  • Своевременность получения;
  • Форма представления.

В информационном процессе обычно участвуют уполномоченные специалисты, технические устройства, другие материальные средства и информационные ресурсы. Они рассматриваются как информационные объекты, которые, с одной стороны, должны быть защищены от угроз информационной безопасности, но, с другой стороны, сами могут представлять собой такие угрозы.