Тема: Информационная безопасность предприятия

1. Информационная безопасность предприятия. Понятийный аппарат. Коммерческая тайна.

Термин данные происходит от слова data — факт, а информация (informatio) означает разъяснение, изложение, т.е. сведения или сообщение.

Данные — это совокупность сведений, зафиксированных на определенном носителе в форме, пригодной для постоянного хранения, передачи и обработки. Преобразование и обработка данных позволяет получить информацию.

Информация — это результат преобразования и анализа данных.

Информация — это данные, представленные в том или ином виде, пригодном для хранения, обработки и передачи.

Информация — это сведения об объектах и явлениях окружающей среды, их параметрах, свойствах и состоянии, которые уменьшают имеющуюся о них степень неопределенности, неполноты знаний.

Сведения — результаты решения задач, истинная, проверенная информация.

Знания — это сведения, обобщенные в виде законов, теорий, совокупностей взглядов.

Знания – это зафиксированная и проверенная практикой обработанная информация, которая использовалась и может многократно использоваться для принятия решений.

Формы информации (с точки зрения информационной безопасности): электронная, печатная, визуальная, аудиальная.

При осуществлении коммерческой деятельности возникает информация, известность которой другим участникам рынка может существенно снизить доходность этой деятельности.

Информационная безопасность — это комплекс мероприятий, обеспечивающий конфиденциальность, целостность, доступность, учёт и апеллируемость для охватываемой им информации.

Расшифровка категорий информации:

конфиденциальность — возможность ознакомится с информацией имеют в своем распоряжении только те лица, кто владеет соответствующими полномочиями;

целостность — возможность внести изменение в информацию должны иметь только те лица, кто на это уполномочен;

доступность — возможность получения авторизованного доступа к информации со стороны уполномоченных лиц в соответствующий санкционированный для работы период времени;

учёт — все значимые действия лица, выполняемые им в рамках контролируемых системой безопасности должны быть зафиксированы и проанализированы;

апеллируемость — условие, при котором лицо, направившее информацию другому лицу, не может отречься от факта направления информации, а лицо, получившее инцормацию, не может отречься от факта её получения.

Коммерческая тайна — режим конфиденциальности информации, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (из ст. 3 закона «О коммерческой тайне»). Под режимом конфиденциальности информации понимается введение и поддержание особых мер по защите информации.

Также под коммерческой тайной могут подразумевать саму информацию, которая составляет коммерческую тайну, то есть, научно-техническую, технологическую, производственную, финансово-экономическую или иную информацию, в том числе составляющую секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введён режим коммерческой тайны.

Чтобы информация получила статус коммерческой тайны, её обладатель должен исполнить установленные процедуры (составление перечня, нанесение грифа и некоторые другие). После получения статуса коммерческой тайны информация начинает охраняться законом.

За разглашение (умышленное или неосторожное), а также за незаконное использование информации, составляющей коммерческую тайну, предусмотрена ответственность — дисциплинарная, гражданско-правовая, административная, уголовная и материальная. Материальная ответственность наступает независимо от других форм ответственности.

2. Многоуровневая модель объектов информационной безопасности

(по Игнатьеву В.А.)

VII Уровень бизнес-процессов

VI Уровень приложений

V Уровень систем управления базами данных

IV Уровень операционных систем

III Уровень сетевых приложений

II Сетевой уровень

I Физический уровень

Как правило, автоматизированные средства обеспечения безопасности не выходят за III уровень и защищают от угроз, исходящих от субъекта НСД (несанкционированного доступа).

Наиболее опасным субъектом угроз в организации является легальный пользователь, допущенный к ее ресурсам. Его значение резко возрастает от III к VI уровню, т.е. по сути возрастает роль «человеческого фактора», самой нестабильной и изменчивой составляющей во всей совокупности проблем, влияющих на безопасность. На высоких уровнях появляется проблема злоупотребления легальным доступом.

3. Основные методы и направления обеспечения информационной безопасности бизнеса. Управление доступом.

Методами обеспечения защиты информации являются следующие:

— препятствие;

— управление доступом;

— маскировка;

— регламентация;

— принуждение;