ВКР Федоренков (1217839), страница 10
Текст из файла (страница 10)
Частная практика включает в себя различные методы психологического воздействия на отдельных работников фирмы, частных лиц с целью предотвращения совершения экономического преступления. Это, как правило, проводится, в отношении лиц, чье поведение вызывает подозрения на предмет неправомерного поведения или наличия экономических интересов, которые могут нанести ущерб фирме. Так же профилактика может распространяться на тех лиц, кто уже совершил проступок или действий, которые могут нанести вред репутации компании, вызвать нарушение системы экономической безопасности.
Общая профилактика включает в себя комплекс мер политического, экономического, правового, организационного и идеологического характера. Одним из наиболее эффективных форм общего предупреждения и разоблачения преступлений в Великобритании считается оплата денежных вознаграждений за предоставление информации [46]. Британский рынок насыщен специальным оборудованием. Также действенным инструментом считается проведение отбора, проверки и испытания, которые проходят сотрудники, чтобы работать в коммерческих структурах, в особенности в системе обеспечения внутренней безопасности.
Для транспортных средств, осуществляющих перемещение ценностей, выставлены серьезные требования. Они должны быть: изготовлены из сверхпрочных материалов; оснащены радиосвязью; должны надежно закрываться на внутренние замки. В связи с этим многие машины в Великобритании, осуществляющие перевозки, оснащены микропроцессорами, камерами, установленными внутри машины и за ее пределами.
В Германии большое внимание уделяется незаконному использованию эмигрантов на предприятиях. Даже при формировании совместных предприятий в стране, на которых предполагается задействование в качестве сотрудников иностранцев, предполагается включение в состав службы внутренней безопасности сотрудников спецслужб. В случае нарушения таких соглашений со стороны предприятия (имеется в виду работа персонала, у которого нет разрешения на работу) компания может быть закрыта или ее деятельность приостановлена [41].
Проблемы обеспечения экономической безопасности хозяйственной деятельности на территории Германии занимают важное место. В этой связи созданы специальные механизмы взаимодействия служб внутренней безопасности с криминальной полицией, таможенной службой и пограничными войсками.
Другой характерной особенностью обеспечения экономической безопасности в Германии является повышенное внимание к защите коммерческих и промышленных секретов. Министерство внутренних дел Германии глубоко интегрировано в процесс совершенствования законодательства, регулирующего порядок проведения мероприятий по предотвращению утечки информации, составляющей коммерческую или промышленную тайну.
В функциональные обязанности служб по обеспечению экономической безопасности входит анализ рисков несанкционированного доступа, выявление уязвимых областей, где риск незаконного проникновения в компьютеры государственных и частных компаний наиболее высок и т.д. В дополнение к безопасности несанкционированного доступа к коммерческой информации, содержащейся в сети или персональных компьютерах, французские специалисты в сфере обеспечения компьютерной безопасности предлагают более полную корпоративную программу, которая должна обеспечивать сохранность электронных данных во всех файлах компании или банка [42].
Из-за его географического положения, традиций и обычаев, довольно близких языковых систем и норм законодательства в странах Северной Европы есть много общих подходов к организации деятельности коммерческих и промышленных служб обеспечения экономической безопасности [18]. В этих странах детективные и охранные бюро принадлежат к категории частных предприятий.
Это предполагает, что их создание, регистрация, финансирование, налогообложение, правовой статус и деятельность регулируются Общими нормами права.
Уполномоченные сотрудники службы безопасности на предприятиях совместно с отделами кадровых служб проводят специальную проверку квалифицированных лиц, допущенных к работе с секретными документами и материалами.
Наблюдается тенденция к расширению функций государства в сфере обеспечения экономической безопасности путем создания ведомственных служб обеспечения безопасности коммерческой деятельности частных коммерческих организаций за рубежом. В их функции входит организация и помощь в формировании собственных служб обеспечения экономической безопасности.
В странах Северной Европы также привлекают к себе большое внимание компьютерные преступления и их предупреждение. Большинство компьютерных преступлений, совершаемых в этих странах, остается нераскрытыми, так как компании, заботясь о своей репутации, редко сообщают о случаях несанкционированного доступа в их компьютерные системы. В таких случаях службы обеспечения экономической безопасности проводят самостоятельное расследование с привлечением сотрудников частных агентств, а лиц, признанных виновными, как правило, увольняют.
В целом в странах Северной Европы есть тенденция к созданию в промышленных и коммерческих фирмах мощных систем обеспечения экономической безопасности и их тесному сотрудничеству с правоохранительными органами в целях повышения эффективности предпринимательской деятельности и предотвращению компьютерных преступлений, а также случаев промышленного шпионажа [44].
Таким образом, в современных условиях хозяйствования для зарубежным предпринимательских структур характерно, наряду с созданием собственных структур обеспечения экономической безопасности, тесное взаимодействие с частными детективно-охранными агентствами, службами обеспечения промышленной, информационной и коммерческой безопасности. Для структур, в функциональные обязанности которых входит обеспечение экономической безопасности, характерно усиление тенденции к постоянному расширению сфер, диапазона и масштаба решаемых задач. Расширяется сфера применения навыков обеспечения экономической безопасности: от торгово-экономической до финансовой и электронной. Кроме того, следует отметить перманентное повышение уровня квалификации и увеличение численности сотрудников как внутренних служб обеспечения экономической безопасности, так и частных агентств. Для западных фирм характерны усиление специализации сотрудников по обеспечению экономической безопасности и профессионализации.
4 Информационная безопасность
4.1 Информационная безопасность в ВЧДЭ-11 Тында
Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.
На практике важнейшими являются три аспекта информационной безопасности:
– доступность (возможность за разумное время получить требуемую информационную услугу);
– целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
– конфиденциальность (защита от несанкционированного прочтения).
Компоненты автоматизированной информационной системы можно разбить на следующие группы:
– аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
– программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
– данные, хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
– персонал - обслуживающий персонал и пользователи.
Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть [14]:
– аварийные ситуации из-за стихийных бедствий и отключений электропитания;
– отказы и сбои аппаратуры;
– ошибки в программном обеспечении;
– ошибки в работе персонала;
– помехи в линиях связи из-за воздействий внешней среды.
Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:
– недовольством служащего своей карьерой;
– взяткой;
– любопытством;
– конкурентной борьбой;
– стремлением самоутвердиться любой ценой.
Можно составить гипотетическую модель потенциального нарушителя:
– квалификация нарушителя на уровне разработчика данной системы;
– нарушителем может быть как постороннее лицо, так и законный пользователь системы;
– нарушителю известна информация о принципах работы системы;
– нарушитель выбирает наиболее слабое звено в защите.
Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.
Ниже рассмотрим классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:
Через человека:
– хищение носителей информации;
– чтение информации с экрана или клавиатуры;
– чтение информации из распечатки.
Через программу:
– перехват паролей;
– дешифровка зашифрованной информации;
– копирование информации с носителя.
Через аппаратуру:
– подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
– перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.
Надежная система защиты должна соответствовать следующим принципам:
– стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
– каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
– защита тем более эффективна, чем проще пользователю с ней работать.
– возможность отключения в экстренных случаях.
Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией (от греч. kryptos - скрытый и grapho – пишу).
Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. По способу функционирования системы шифрования дисковых данных делят на два класса:
– системы "прозрачного" шифрования;
– системы, специально вызываемые для осуществления шифрования.
Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.
В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки [34]:
– шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифровывания данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);
– шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.
– оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами.
При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.
Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.
Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.
Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.
Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.
Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем [20].
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
