Содержание


Введение 3

1. Угроза компьютерных преступлений 4

2. Причины и характеры уязвимостей 7

3. Анализ защищенности информационных систем 10

Заключение 14

Литература 15


Введение

В последнее время для большинства преуспевающих компаний использование современных информационных технологий стало залогом успешного ведения бизнеса. Такие технологии автоматизируют бизнес-процессы и упрощают решение многих трудоемких бизнес задач, тем самым открывают широкие перспективы развития компаний. Наряду с положительными моментами, используемые технологические новшества являются источником новых уязвимостей и потенциальных опасностей для информационных активов компании. При этом пренебрежение вопросами информационной безопасности может привести к катастрофическим последствиям.

Почти каждую неделю в средствах массовой информации мы слышим о новых компьютерных преступлениях, хакерских атаках, сбоях в информационных системах, всемирных вирусных эпидемиях, нарушающих работоспособность информационных систем многих компаний и других проблемах, связанных с использованием информационных технологий. Причем доступная информация об этих фактах составляет только "верхушку айсберга", так как многие компании стараются не придавать огласке свои инциденты безопасности во избежание подрыва своей репутации и доверия со стороны клиентов и партнеров. По оценкам западных экспертов, ущерб от компьютерного мошенничества, промышленного шпионажа и других нарушений информационной безопасности с каждым годом неуклонно растет. Вредоносное программное обеспечение (вирусы, троянские кони и т.д.), а также хакерские атаки на информационные системы становятся все более распространенными и изощренными. При этом злоумышленники, как правило, обладают достаточно высокой квалификацией в области IT-технологий и знают слабые места информационных систем.

1. Угроза компьютерных преступлений

Согласно данным международного комитета по компьютерной преступности, занимающегося исследованиями масштабов и видов компьютерных преступлений, компьютерные преступления представляют собой серьезную угрозу для любой располагающей компьютерной техникой организации. По существующим подсчетам, вывод из строя информационной системы в результате возникновения нештатной технической ситуации или преступления может привести даже самый крупный банк к полному разорению за четверо суток, а более мелкое учреждение – за сутки. Необходимо отметить, что никакие технические, организационные и правовые меры не в состоянии гарантировать полную безопасность и надежность информационных систем. Поэтому основная задача обеспечения информационной безопасности сводится к снижению рисков до приемлемого уровня, что возможно лишь при комплексном подходе к вопросам информационной безопасности. Именно такой подход и нашел свое отражение в международных стандартах по информационной безопасности.

В соответствии с международными стандартами обеспечение информационной безопасности предполагает следующее. В первую очередь, компании необходимо сформулировать ясную политику информационной безопасности, концептуально отражающую принятые в компании цели, принципы, подходы и методы обеспечения информационной безопасности. Такая политика должна эффективно поддерживаться руководством компании и адекватно пониматься всеми ее сотрудниками. Следующим важным шагом является определение и категорирование ресурсов ИС, подлежащих защите, а также определение необходимых к применению требований информационной безопасности. При выборе требований безопасности следует учитывать результаты оценки рисков для компании, требования законодательства, специфику деятельности компании. Далее, в соответствии с политикой и требованиями безопасности, необходимо выбрать адекватные средства защиты и правильно интегрировать их в информационную систему.

Необходимо отметить, что обеспечение информационной безопасности должно быть непрерывным и управляемым процессом на протяжении всего жизненного цикла ИС. Это достигается путем внедрения в компании системы управления информационной безопасностью (СУИБ). Организация СУИБ предполагает наличие не только технических средств защиты информации, но и соответствующих организационных структур, а также правового обеспечения деятельности по защите информации. Функционирование СУИБ должно четко регламентироваться нормами и требованиями, документально закрепленными в правилах, инструкциях, приказах и т.д. СУИБ должна непрерывно поддерживаться в актуальном состоянии путем проведения ее регулярных проверок и анализа ее функционирования с учетом произошедших инцидентов безопасности, изменений структуры компании, развития информационных технологий и т.д. В процессе управлении информационной безопасностью необходимо участие всех сотрудников компании. Максимального повышения эффективности работы СУИБ модно достигнуть путем использования высокопрофессиональной помощи экспертов по информационной безопасности из сторонних организаций. Наличие СУИБ означает реализацию в компании основательного и комплексного подхода к обеспечению информационной безопасности и является важным условием достижения целей информационной безопасности, определенных компанией.

Одним из основных приоритетов комплексного подхода к обеспечению информационной безопасности является определение причин возникновения слабых мест (уязвимостей) в системе безопасности ИС. Если посмотреть на жизненный цикл ИС, то можно выявить три его основных этапа: проектирование, внедрение и эксплуатация ИС. Каждому из этих этапов соответствуют свои категории уязвимостей: уязвимости проектирования, уязвимости внедрения и уязвимости эксплуатации.

Уязвимости проектирования обусловлены несоблюдением требований информационной безопасности при проектировании ИС. Основными требованиями к проектируемой ИС в этом случае выступают производительность и удобство работы. Такие уязвимости наиболее опасны,