Защита информации. Системы защиты информации

Содержание:

ВВЕДЕНИЕ

Распространение и повсеместное использование новых информационных ресурсов и технологий не только дает множество преимуществ, но также и создает трудности совершенно нового уровня. Высокая степень информатизации общества привела его к такой ситуации, в которой данные обрабатываются в считанные секунды, но при этом они уязвимы, как никогда прежде в человеческой истории.

Сегодня насчитывается множество самых разнообразных угроз информационной безопасности, которые могут возникнуть как по вине человека, так и без его непосредственного участия. Ущерб же, нанесенный человеком, может быть случайный и умышленный, и в последнем случае мы имеем дело с киберпреступлениями. В основном подобные преступления совершаются на основе корпоративных сетей и компьютеров, так как компаниям, как правило, действительно есть, что терять. И в связи с этим недостаточный уровень подготовки к различным видам воздействия на информацию может очень дорого стоить для коммерческих предприятий.

Цель работы – изучение назначения и структуры системы защиты информации коммерческого предприятия.

Для достижения поставленной цели необходимо выполнить следующие задачи:

1. Рассмотреть понятие защиты информации.
2. Охарактеризовать системы защиты информации.
3. Проанализировать назначение системы защиты информации коммерческого предприятия.
4. Изучить структуру системы защиты информации коммерческого предприятия.

Объектом исследования выступают системы защиты информации коммерческого предприятия, а предметом – назначение и структура таких систем.

Структура работы имеет следующий вид: 2 главы, 4 параграфа, введение, заключение, список использованной литературы.

Теоретической базой исследования выступили труды различных современных исследователей проблемы, всесторонне и глубоко изучающих вопросы обеспечения информационной безопасности в целом и информационной безопасности коммерческого предприятия в частности. В число авторов, чьи работы были проанализированы, входят такие известные исследователи, как Галицкий А. В. и Партика Т. Л., а также мн. др.

Защита информации. Системы защиты информации

1.1 Понятие защиты информации

Под защитой информации принято понимать использование различных средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения надежности передаваемой, хранимой и обрабатываемой информации.

Можно выделить несколько основных задач, решение которых в информационных системах и телекоммуникационных сетях обеспечивает защиту информации, а именно:

• организация доступа к информации только допущенных к ней лиц;
• подтверждение истинности информации;
• защита от перехвата информации при передаче ее по каналам связи;
• защита от искажений и ввода ложной информации [5].

Защитить информацию – это значит:

• обеспечить физическую целостность информации, т.е. не допустить искажений или уничтожения элементов информации;
• не допустить подмены (модификации) элементов информации при сохранении ее целостности;
• не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
• быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.

Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации, как несанкционированными, так и непреднамеренными воздействиями на нее [15].

Основными формами нарушения (угрозами), которые возможны при наличии уязвимостей, применительно к основным свойствам информации, являются:

• разглашение (конфиденциальной) информации – несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к этой информации;
• несанкционированный доступ (НСД) – получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
• непреднамеренные или несанкционированные воздействия, приводящие к изменению, искажению (модификации), копированию, уничтожению и т.д.
• блокирование доступа к ЗИ в результате непреднамеренных или несанкционированных воздействий;
• уничтожение, или сбой функционирования носителя ЗИ в результате непреднамеренных или несанкционированных воздействий [9].

Причины возникновения данных угроз проявляются следующим образом:

1) Непреднамеренное или несанкционированное воздействие на информацию (НПД):

• ошибка пользователя информацией,
• сбой технических и программных средств информационных систем,
• природные явления или иные нецеленаправленные на изменение информации действия, приводящие к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2) Сбои оборудования:

• сбои кабельной системы перебои электропитания;
• сбои дисковых систем;
• сбои систем архивации данных;
• сбои работы серверов, рабочих станций, сетевых карт и т.д.

3) Потери информации из–за некорректной работы ПО:

• потери или изменение данных при ошибках ПО;
• потери при заражении системы компьютерными вирусами;
• программные ловушки;

Технические средства получения информации

К техническим средствам получения информации относятся:

• перехват электрического излучения;
• включение в электрическую цепь;
• жучки;
• акустический перехват;
• хищение информационных носителей [11]

Для защиты информации используются технические и программные средства.

Технические средства реализуются в виде электрических, электромеханических, электронных устройств.

Всю совокупность технических средств принято делить на:

• аппаратные устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой сети по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);
• физические – реализуются в виде автономных устройств и систем (электронно–механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах) [5].

Программные средства – программы, специально предназначенные для выполнения функций, связанных с защитой информации.

Радикальное решение проблем защиты электронной информации может быть получено только на базе использования криптографических методов, которые позволяют решать важнейшие проблемы защищённой автоматизированной обработки и передачи данных. При этом современные скоростные методы криптографического преобразования позволяют сохранить исходную производительность автоматизированных систем.

Криптографические преобразования данных являются наиболее эффективным средством обеспечения конфиденциальности данных, их целостности и подлинности. Только их использование в совокупности с необходимыми техническими и организационными мероприятиями могут обеспечить защиту от широкого спектра потенциальных угроз.

Электронная цифровая подпись (ЭЦП) – вид аналога собственноручной подписи, являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов [13].

1.2 Система защиты информации

В настоящее время большинство авторов в определение комплексной системы защиты информации включают три основных компонента: объект, угроза, защита [6]. Объектом защиты в данном случае являются информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации [2]. В связи с возможностью перехода информации из одной формы в другую, а также с многообразием видов носителей информации определить полный перечень объектов защиты практически невозможно. Обычно объекты защиты определяют по основному признаку – содержат ли они или циркулирует ли в них информация ограниченного доступа. В соответствии с Национальным стандартом РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922–2006) к объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Носитель информации – это материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин [3].

Различают следующие виды носителей информации:

• люди (обслуживающий персонал, пользователи информации и информационных ресурсов и др.; способность мозга человека познавать внешний мир, накапливать в памяти информацию, а также анализировать и перерабатывать ее с целью создания новой информации ставит чело­века на первое место как носителя конфиденциальной информации);
• документ (согласно ст.2 Федеральный закон от 27 июля 2006 г. № 149–ФЗ «Об информации, информационных технологиях и о защите информации» документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель[15]; данный термин указывает на три основных признака документа: наличие материального носителя информации; идентифицируемость зафиксированных на носителе сведений; возможность изменения форм ее закрепления, т.е. возможность копирования информации; могут быть классифицированы по ряду признаков: по видам деятельности, по происхождению, по месту возникновения, по содержанию, по гласности, по форме, по срокам хранения, в зависимости от способа воспроизведения, по стадиям создания и др.; являются наиболее информативными носителями, так как они содержат, как правило, достоверную информацию в отработанном и сжатом виде; особую ценность имеют подписанные и утвержденные документы);
• публикации (информационные носители в виде разнообразных изданий: книги, статьи, обзоры, сообщения, доклады, рекламные проспекты и т.д.; отграничивают содержание различных конференций, симпозиумов, научных семинаров и других подобных публичных форумов, где опытные специалисты собирают новую и самую ценную информацию);
• технические носители (носители любой формы, кино–, фотоматериалы, магнитные носители, видеодиски, распечатки данных и программ на принтерах и др.) [16];
• технические средства обеспечения производственной и трудовой деятельности (телефоны, телевизоры, радиоприемники, системы громкоговорящей связи, усилительные системы, охранные и пожарные системы, автоматизированные системы обработки данных и др.);
• промышленные и производственные отходы (несут сведения об используемых материалах, их составе, особенностях производства, технологии) [6].

Угроза – одно из ключевых понятий в сфере обеспечения информационной безопасности. В соответствии с Национальным стандартом РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922–2006) под угрозой (безопасности информации) понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Фактором, воздействующий на защищаемую информацию, считается явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней. Источником угрозы безопасности информации является субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации [9].

К наиболее важным свойствам угрозы относятся избирательность, предсказуемость и вредоносность. Избирательность характеризует нацеленность угрозы на нанесение вреда тем или иным конкретным свойствам объекта безопасности. Предсказуемость характеризует наличие признаков возникновения угрозы, позволяющих заранее прогнозировать возможность появления угрозы и определять конкретные объекты безопасности, на которые она будет направлена. Вредоносность характеризует возможность нанесения вреда различной тяжести объекту безопасности. Вред, как правило, может быть оценен стоимостью затрат на ликвидацию последствий проявления угрозы либо на предотвращение ее появления.

Необходимо выделить два наиболее важных типа угроз:

• намерение нанести вред, которое появляется в виде объявленного мотива деятельности субъекта;
• возможность нанесения вреда – существование достаточных для этого условий и факторов.

Особенность первого типа угроз заключается в неопределенности возможных последствий, неясности вопроса о наличии у угрожающего субъекта сил и средств, достаточных для осуществления намерения.

Возможность нанесения вреда заключается в существовании достаточных для этого условий и факторов. Особенность угроз данного типа состоит в том, что оценка потенциала совокупности факторов, которые могут послужить превращению этих возможностей и условий во вред, может быть осуществлена только собственно субъектами угроз [7].

Между угрозой и опасностью нанесения вреда всегда существует устойчивая причинно–следственная связь.

Угроза всегда порождает опасность. Опасность также можно представить как состояние, в котором находится объект безопасности вследствие возникновения угрозы этому объекту. Главное отличие между ними заключается в том, что опасность является свойством объекта информационной безопасности и характеризует его способность противостоять проявлению угроз, а угроза – свойством объекта взаимодействия или находящихся во взаимодействии элементов объекта безопасности, выступающих в качестве источника угроз. Понятие угрозы имеет причинно–следственную связь не только с понятием опасности, но и с возможным вредом как последствием негативного изменения условий существования объекта. Возможный вред определяет величину опасности.

Под защитой информации понимается деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию [5].

Выделяют следующие виды защиты информации:

• правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением;
• техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно–технических средств;
• криптографическая защита информации – защита информации с помощью ее криптографического преобразования;
• физическая защита информации – защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты [2].

Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

Понятие «защита информации» тесно связано с понятием «информационная безопасность». Сущность защиты информации заключается в предупреждении, выявлении, обнаружении угроз, ликвидации их последствий, т.е. в обеспечении безопасности информации. Под безопасностью информации [6] принято считать состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность, целостность. Информационная безопасность – это состояние защищенности информационной среды, информационная безопасность государства – состояние защищенности его национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Таким образом, система защиты информации – это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия.

Система защиты информации коммерческого предприятия

2.1 Назначение системы защиты информации коммерческого предприятия

Защита информационных ресурсов (данных) компании от утечек – важнейшая задача мероприятий по информационной безопасности. При любом виде деятельности у каждой компании есть определённый набор сведений, которые являются основой существования фирмы. Эти сведения и обслуживающий их документооборот являются коммерческой тайной компании, и, разумеется, требуют защиты от утечек и разглашения. Угрозы утечки данных разделяют на два направления: внешние (вредоносное ПО, хакерские атаки и т.д.) и внутренние угрозы (инсайдеры). Эффективная защита информации от утечек требует комплексного подхода. Для успешного построения системы информационной безопасности требуется анализ и аудит информационной безопасности предприятия [4].

Конфиденциальная для бизнеса информация входит в сферу повышенного интереса конкурирующих компаний. Для недобросовестных конкурентов, коррупционеров и других злоумышленников особый интерес представляет информация о составе менеджмента предприятий, их статусе и деятельности фирмы. Доступ к конфиденциальной информации и ее изменение могут нанести существенный урон финансовому положению компании. При этом, информационная утечка может быть даже частичной. В некоторых случаях даже обеспечение хищения 1/5 конфиденциальной информации может иметь критические последствия для финансовой безопасности. Причиной утечки информации, если отсутствует должное обеспечение информационной безопасности организации, могут быть различные случайности, вызванные неопытностью сотрудников.

Информационная безопасность предполагает обеспечение защиты данных от хищений или изменений как случайного, так и умышленного характера. Система обеспечения информационной безопасности организации – эффективный инструмент защиты интересов собственников и пользователей информации. Следует отметить, что ущерб может быть нанесен не только несанкционированным доступом к информации. Он может быть получен в результате поломки коммуникационного или информационного оборудования. Особенно актуальна эффективная организация обеспечения безопасности информационных банковских систем и учреждений открытого типа (учебные, социальные и др.).

Для того чтобы наладить должное обеспечение защиты информации следует иметь четкое представление об основных понятиях, целях и роли информационной безопасности [9].

Термин «безопасность информации» описывает ситуацию, исключающую доступ для просмотра, модерации и уничтожения данных субъектами без наличия соответствующих прав. Это понятие включает обеспечение защиты от утечки и кражи информации с помощью современных технологий и инновационных устройств.

Защита информации включает полный комплекс мер по обеспечении целостности и конфиденциальности информации при условии ее доступности для пользователей, имеющих соответствующие права.

Целостность – понятие, определяющее сохранность качества информации и ее свойств.

Конфиденциальность предполагает обеспечение секретности данных и доступа к определенной информации отдельным пользователям.

Доступность – качество информации, определяющее ее быстрое и точное нахождение конкретными пользователями.

Цель защиты информации – минимизация ущерба вследствие нарушения требований целостности, конфиденциальности и доступности [9].

Назначением системы защиты информации в коммерческом предприятии является минимизация возможности реализации следующих трех угроз информационной безопасности:

1. Неблагоприятная для предприятия экономическая политика государства. Регулирование экономики государством с помощью манипуляций (определение валютного курса, учетная ставка, таможенные тарифы и налоги) является причиной многих противоречий на предприятиях в сфере производства, финансов и коммерции.

Большую опасность для обеспечения безопасности информации предприятия несут административные обязательства выхода на рынок, что приводит к насильственному сужению товарно–денежных отношений, нарушению законов со стороны государства и ограничению деятельности предприятия. Часто государство преувеличивает свою компетентность в финансовой и коммерческой сфере деятельности предприятия и необоснованно вмешивается в пространство информации этих сфер, а также посягает на собственность предприятия в различных формах.

Серьезную угрозу для обеспечения безопасности информации предприятия несут политические действия, направленные на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и подрывают коммерческие взаимоотношения. Все это ведет к дестабилизации экономических отношений, и не только на уровне государства [12].

2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечению безопасности информации несет нездоровая конкуренция. Нездоровая или недобросовестная конкуренция имеет несколько понятий и по нормам международного права разделяется на три вида:

1. Когда деятельность одной коммерческой структуры пытаются представить потребителю под видом другой;
2. Дискредитирование репутации коммерческого предприятия путем распространения ложной информации;
3. Неправомерное и некорректное использование торговых обозначений, вводящих потребителя в заблуждение.

В западных странах существуют законодательные акты по ведению недобросовестной конкуренции, фирменным наименованиям, товарным обозначениям и препятствованию обеспечению безопасности информации, нарушение которых ведет к определенной юридической ответственности. Также к ответственности приводят следующие неправомерные действия:

Подкуп или переманивание потребителей со стороны конкурента;

1. Порядок обеспечения информационной безопасности организации нарушается путем разглашения коммерческих тайн, а также выяснения информации с помощью шпионажа, подкупа;
2. Установление неравноправных и дискредитирующих условий, влияющих на обеспечение безопасности информации;
3. Тайное создание картелей, сговор во время торгов с предоставлением коммерческой информации;
4. Создание условий, ограничивающих возможность обеспечения безопасности информации;
5. Преднамеренное снижение цен для подавления конкуренции;
6. Копирование товаров, рекламы, услуг и других форм коммерческой деятельности и информации конкурента [14].

Имеются и другие аспекты, выявляющие недобросовестную конкуренцию. К ним относится экономическое подавление, которое выражается в разных формах – шантаж персонала, руководителей, компрометирующая информация, парализация деятельности предприятия и срыв сделок с помощью медиаканалов, коррупционных связей в госорганах.

Коммерческий и промышленный шпионаж, подрывающий основы обеспечения информационной безопасности организации, также входит под правовую юридическую ответственность, поскольку он подразумевает незаконное завладение секретной информацией конкурента с целью извлечения личной выгоды.

Та информация, которая предоставляется для широких масс по легальным каналам, не дает руководству предприятия полного ответа на интересующие вопросы о конкурентах. Поэтому, многие крупные предприятия, даже считая действия шпионажа неэтичными и неправомерными, все равно прибегают к мерам, противодействующим обеспечению безопасности информации. Шпионы, работающие на конкурирующем предприятии, часто прибегают к таким действиям, как прямое предложение служащему о предоставлении секретной информации, кража, подкуп и другие разные уловки. Многие действия по подрыву обеспечения безопасности информации облегчаются за счет появления на рынке различных подслушивающих устройств и других современных технических разработок, которые позволяют максимально качественно осуществлять коммерческий и промышленный шпионаж.

Для многих служащих конкурентной компании сумма, предложенная за шпионаж, предоставление секретной информации и нарушение обеспечения безопасности информации, в несколько раз превышает их ежемесячный доход, что является очень соблазнительным для обычного сотрудника. Поэтому, можно считать, что подписка о неразглашении не является полной гарантией обеспечения безопасности коммерческой информации [11].

Следующей формой недобросовестной конкуренции, направленной на препятствование обеспечению безопасности информации, считается физическое подавление в виде посягательства на жизнь и здоровье служащего компании. В эту категорию входит:

1. Организация разбойных нападений на производственные, складские помещения и офисы с целью ограбления;
2. Уничтожение, порча имущества и материальных ценностей путем взрыва, поджога или разрушения;
3. Захват сотрудников в заложники или физическое устранение.

3. Кризисные явления в мировой экономике. Кризисы имеют особенность перетекать из одной страны в другую, используя каналы внешних экономических связей. Они также наносят ущерб обеспечению безопасности информации. Это следует учесть, определяя методы и средства обеспечения информационной безопасности организации.

Поэтапное интегрирование России в международную экономику способствует зависимости коммерческих предприятий страны от различных процессов, происходящих в мировой экономике (падение и рост цен на энергоносители, структурная перестройка и другие факторы). По степени внедрения национальной экономики в мировую экономическую структуру усиливается ее подверженность внешним факторам. Поэтому, современное производство в стремлении к увеличению прибыли, улучшению деятельности путем модернизации, повышению уровня обеспечения безопасности информации, стабильности обязательно должно обращать внимание на динамику потребительского спроса, политику государства и центральных банков, развитие научно–технического прогресса, на отношение конкурентов, мировую политику и хозяйственную деятельность [6].

Подводя итог данного параграфа, можно сказать, что основная цель обеспечения комплексной системы безопасности информации для защиты коммерческого предприятия, это:

1. Создать благоприятные условия для нормального функционирования в условиях нестабильной среды;
2. Обеспечить защиту собственной безопасности;
3. Возможность на законную защиту собственных интересов от противоправных действий конкурентов;
4. Обеспечить сотруднику сохранностью жизни и здоровья.

Предотвращать возможность материального и финансового хищения, искажения, разглашения и утечки конфиденциальной информации, растраты, производственные нарушения, уничтожение имущества и обеспечить нормальную производственную деятельность.

Качественная безопасность информации для специалистов – это система мер, которая обеспечивает:

1. Защиту от противоправных действий;
2. Соблюдение законов во избежание правового наказания и наложения санкций;
3. Защиту от криминальных действий конкурентов;
4. Защиту от недобросовестности сотрудников.

Эти меры применяются в следующих сферах:

• Производственной (для сбережения материальных ценностей);
• Коммерческой (для оценки партнерских отношений и правовой защиты личных интересов);
• Информационной (для определения ценности полученной информации, ее дальнейшего использования и передачи, как дополнительный способ от хищения);
• Для обеспечения предприятия квалифицированными кадрами.

2.2 Структура системы защиты информации коммерческого предприятия

Система информационной безопасности коммерческого предприятия обеспечивается работой таких подразделений, как:

1. Компьютерная безопасность. Работа этого подразделения основана на принятии технологических и административных мер, которые обеспечивают качественную работу всех аппаратных компьютерных систем, что позволяет создать единый, целостный, доступный и конфиденциальный ресурс.
2. Безопасность данных – это защита информации от халатных, случайных, неавторизированных или умышленных разглашений данных или взлома системы.
3. Безопасное программное обеспечение – это целый комплекс прикладных и общецелевых программных средств, направленных на обеспечение безопасной работы всех систем и безопасную обработку данных.
4. Безопасность коммуникаций обеспечивается за счет аутентификации систем телекоммуникаций, предотвращающих доступность информации неавторизированным лицам, которая может быть выдана на телекоммуникационный запрос [14].

Структура системы защиты информации коммерческого предприятия строится на основе следующих принципов:

1. Принцип комплексности. При создании защитных систем необходимо предполагать вероятность возникновения всех возможных угроз для каждой организации, включая каналы закрытого доступа и используемые для них средства защиты. Применение средств защиты должно совпадать с вероятными видами угроз и функционировать как комплексная система защиты, технически дополняя друг друга. Комплексные методы и средства обеспечения информационной безопасности организации являются сложной системой взаимосвязанных между собой процессов.
2. Принцип эшелонирования представляет собой порядок обеспечения информационной безопасности организации, при котором все рубежи защитной системы будут состоять из последовательно расположенных зон безопасности, самая важная из которых будет находиться внутри всей системы.
3. Принцип надежности (равнопрочности). Стандарт организации обеспечения информационной безопасности должен касаться всех зон безопасности. Все они должны быть равнопрочными, то есть иметь одинаковую степень надежной защиты с вероятностью реальной угрозы.
4. Принцип разумной достаточности предполагает разумное применение защитных средств с приемлемым уровнем безопасности без фанатизма создания абсолютной защиты. Обеспечение организации высокоэффективной защитной системой предполагает большие материальные затраты, поэтому к выбору систем безопасности нужно подходить рационально. Стоимость защитной системы не должна превышать размер возможного ущерба и затраты на ее функционирование и обслуживание.
5. Принцип непрерывности. Работа всех систем безопасности должна быть круглосуточной и непрерывной [16].

Основы обеспечения информационной безопасности организации базируются на таких функциональных направлениях, как:

1. Своевременная организация безопасности по предотвращению угроз для жизненно важных интересов организации со стороны криминальных лиц или конкурентов. В этом случае для обеспечения защиты используются такие методы информации, как деловая разведка и аналитическое прогнозирование ситуации.
2. Принятие мер по предотвращению внедрения агентуры и установки технических устройств с целью получения конфиденциальной информации и коммерческой тайны предприятия. Основными средствами защиты здесь являются строгий пропускной режим, бдительность охранной службы и применение технических защитных устройств.
3. Обеспечение личной охраны руководству и персоналу организации. Основными критериями для этого вида охраны являются организация предупреждающих мер, опыт и профессионализм охранника, системный подход к обеспечению безопасности [4].

На структуру и организацию системы безопасности оказывают влияние такие факторы, как:

1. Масштабность и уровень производственной деятельности организации, количество служащих и возможности для технического развития;
2. Позиция предприятия на рынке – темпы его развития в отрасли, динамика продаж и процентный охват рынка, зоны стратегического влияния, конкурентная способность товаров и услуг;
3. Уровень финансовой рентабельности, платежеспособность, деловая активность и привлекательность для инвестиционных вложений;
4. Наличие объектов и субъектов для специальной охраны – обладатели коммерческой или государственной тайны, взрывоопасные и пожароопасные участки, экологически вредное производство;
5. Присутствие криминальной среды [3].

Система информационной безопасности коммерческого предприятия может состоять из типового набора услуг:

Первое направление – юридическая защита коммерческой деятельности, которая представляет собой юридически грамотное оформление обязанностей, прав и условий для ведения деятельности (прав собственности на патент, лицензию, имущество, ведение бухгалтерской документации, регистрационных документов, соглашений, арендных договоров, уставов и другой документации). Реализация и внедрение данной защиты для безопасности деятельности очевидна, поскольку нормативно–правовая база в данных условиях нестабильна и требует определенной юридической защиты.

Второе направление – физическая безопасность участников коммерческой деятельности. В данном случае участниками или субъектами предпринимательской деятельности могут быть не только предприниматели, но и используемые ими ресурсы – материальные, финансовые, информационные. Безопасность интеллектуальных ресурсов также входит в эту категорию. Это обслуживающий персонал, работники предприятия, акционеры.

Третье направление – информационно–коммерческая безопасность, которая представляет собой защиту информационных ресурсов предприятия и его интеллектуальной собственности.

Четвертое направление – охрана и безопасность персонала и людей, работающих на предприятии. Это соблюдение техники безопасности, охраны труда, экологии, санитарии, деловых взаимоотношений, личной безопасности работников [3].

Во второй главе данной работы были рассмотрены назначение и структура системы защиты информации коммерческого предприятия. На основании данной информации можно сделать вывод, что универсального или идеального метода защиты на сегодняшний день не существует, хотя потребность в качественной безопасности очевидна, а в некоторых случаях – критически необходима.

ЗАКЛЮЧЕНИЕ

В ходе выполнения работы была выполнена поставленная цель – изучены назначение и структура системы защиты информации коммерческого предприятия.

Для достижения данной цели были выполнены следующие задачи:

1. Рассмотрено понятие защиты информации.
2. Охарактеризована система защиты информации.
3. Проанализировано назначение системы защиты информации коммерческого предприятия.
4. Изучена структура системы защиты информации коммерческого предприятия.

Безопасность коммерческого предприятия, в частности, информационная, в современном мире приобретает все большее значение. От сохранения целостности, адекватности и достоверности данных во многом может зависеть успешность или даже просто выживание той или иной компании – и здесь в прямой зависимости находятся и сотрудники, и партнеры, и даже клиенты. Иначе говоря, при проявлении недостаточного усердия в вопросе обеспечения информационной безопасности, пострадать может не только сама компания, но и большинство взаимодействующих с ней сторон.

В то же время необходимо отметить, что чем дальше идет время, тем более усложняются и меняются угрозы информационной безопасности. Следовательно, системы защиты информации также должны модифицироваться и усложняться, совершенствуясь и обеспечивая максимальную защиту данных. В связи с этим нельзя сказать, что проблема изучена полностью – текст работы может быть дополнен со временем при появлении более актуальной информации.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Федеральный закон «О персональных данных» от 27.07.2006 N 152–ФЗ [Электронный ресурс]. Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_61801/
2. Бабаш, А. В. Информационная безопасность (+ CD–ROM) / А. В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. – М.: КноРус, 2017. – 136 c.
3. Балабанов, И. Т. Страхование. Организация. Структура. Практика / И. Т. Балабанов, А. И. Балабанов. – М.: Питер, 2016. – 256 c
4. Галицкий, А. В. Защита информации в сети – анализ технологий и синтез решений / А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М.: ДМК Пресс, 2016. – 615 c.
5. Емельянова, Н. З. Защита информации в персональном компьютере / Н. З. Емельянова, Т. Л. Партыка, И. И. Попов. – М.: Форум, 2015. – 368 c.
6. Коробов, Н. А. Информационные технологии в торговле / Н.А. Коробов, А.Ю. Комлев. – М.: Академия, 2016. – 176 c.
7. Малюк, А. А. Введение в защиту информации в автоматизированных системах / А. А. Малюк, С. В. Пазизин, Н. С. Погожин. – М.: Горячая линия – Телеком, 2018. – 147 c.
8. Мельников, В. В. Защита информации в компьютерных системах / В. В. Мельников. – М.: Финансы и статистика; Электроинформ, 2016. – 368 c.
9. Мельников, В. В. Информационная безопасность и защита информации: моногр. / В. В. Мельников, С.А. Клейменов, А.М. Петраков. – М.: Academia, 2016. – 336 c.
10. Партыка, Т. Л. Информационная безопасность / Т. Л. Партыка, И. И. Попов. – М.: ИНФРА–М, 2015. – 368 c.
11. Сергеева, Ю. С. Защита информации. Конспект лекций / Ю. С. Сергеева. – М.: А–Приор, 2015. – 128 c.
12. Соколов, А. В. Защита информации в распределенных корпоративных сетях и системах / А. В. Соколов, В. Ф. Шаньгин. – М.: ДМК Пресс, 2016. – 656 c.
13. Спесивцев, А. В. Защита информации в персональных ЭВМ / А. В. Спесивцев, В. А. Вегнер, А. Ю. Крутяков. – М.: Радио и связь, 2016. – 192 c.
14. Степанов, Е. А. Информационная безопасность и защита информации. Учебное пособие / Е. А. Степанов, И. К. Корнеев. – М.: ИНФРА–М, 2014. – 304 c.
15. Федоров, А. В. Информационная безопасность в мировом политическом процессе / А. В. Федоров. – М.: МГИМО–Университет, 2017. – 220 c
16. Шаньгин, В. Ф. Защита информации в компьютерных системах и сетях / В. Ф. Шаньгин. – М.: «ДМК пресс. Электронные книги», 2014. – 592 c.