СодержаниеОГЛАВЛЕНИЕ
Введение........................... 3
Глава 1. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ....... 14
1.1 Основные понятия информационной безопасности....... 14
1.2. Мероприятия по защите информации........... 21
1.3. Методы защиты информации................ 25
Глава 2. РИСКИ ПРИ ИНФОРМАЦИОННОЙ ДЕЯТЕЛЬНОСТИ. 28
2.1 Сущность, содержание и виды рисков при защите информации. 30
2.2 Методика анализа и оценки рисков в комплексной системе защиты информации....................
40
2.3 Способы минимизации рисков............... 56
Глава 3. СТРАХОВОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ.......................
62
3.1 Страхование как элемент защиты............. 62
3.2 Страхование: сущность и виды.............. 65
3.3 Порядок и виды страхования рисков при защите информации. 71
3.4 Перспективы развития страхования информационных рисков в России............................
92
3.5 Методические рекомендации по выбору видов страхования рисков при защите информации................
97
Заключение.......................... 106
Список использованных источников и литературы........ 111
Приложение......................... 115ВведениеСовременный этап развития общества характеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. От обеспечения информационной безопасности каждого предприятия, учреждения, фирмы, в конечном итоге, зависит национальная безопасность Российской Федерации, и в ходе технического прогресса эта зависимость будет только возрастать.
Информационное обеспечение составляет основу любой деятельности людей. На современном этапе многие традиционные ресурсы человеческого прогресса утрачивают свое первостепенное значение. Но информация остается одним из главных ресурсов научно-технического и социально-экономического развития мирового сообщества. Информация влияет не только на ускорение прогресса в науке и технике, но и на обеспечение охраны общественного порядка, сохранности собственности, общение между людьми и другие социально значимые области. В основе любого решения лежит информация. И чем объем и достоверность имеющейся у вас информации выше, тем, как правило, выше и оптимальность принятого решения. Информация становится одним из основных средств решения проблем и задач государства, различных коммерческих структур и отдельных людей. Но информация может быть использована особой категорией населения и в преступных целях. В связи с этими обстоятельствами непрерывно возрастает актуальность задач защиты информации во всех сферах деятельности людей: на государственной службе, в бизнесе, в научной деятельности и даже в личной жизни.
В настоящее время существуют два направления защиты, отличающиеся по содержанию общественных отношений и форме организации. Это защита государственного информационного ресурса и защита информационного ресурса независимого сектора экономики. И, если, в государственном секторе сохраняются элементы административно-директивных методов экономики, а архитектура систем защиты строится на директивных формах управления, то в независимом секторе экономики решающим фактором является риск участника информационных отношений. И именно этот участник определяет структуру систем защиты, которая ему нужна, ибо весь ущерб от утечки информации он несет сам.
Известно, что Россия сейчас отстает от ведущих стран мира в развитии передовых информационных технологий. Опираясь на зарубежный опыт и учитывая российские особенности постановки и решения проблем, мы могли бы более надежно прогнозировать назревающие проблемы и находить оптимальные решения. Актуальность вышеизложенного подчеркивается в документе "Доктрина информационной безопасности Российской Федерации", который был утвержден Президентом 9 сентября 2000 года. Там, в частности, говорится, что "серьезную угрозу для нормального функционирования экономики в целом представляют компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети банков и иных кредитных организаций".
С созданием в России все большего количества предприятий, обладающих своей коммерческой тайной, появления между ними конкуренции, все более и более злободневной становится необходимость защиты коммерческой тайны каждого предприятия. К тому же от общего состояния безопасности всех структур зависит состояние безопасности нашей страны.
Любая предпринимательская деятельность требует постоянного принятия управленческих решений, связанных с продвижением на рынке своей продукции, работой с партнерами и клиентами, отбором и оценкой персонала, развитием производственного процесса и многими другими аспектами деятельности. Опыт показывает, что принятие даже жизненно важных для предпринимателя решений, в подавляющем большинстве случаев, происходит в условиях дефицита времени и необходимой информации. При этом, чем крупнее бизнес, тем чаще возникают ситуации риска. Неопределенности и риски, сопутствующие предпринимательству - являются одной из его характеризующих черт.
Работа на развивающемся российском рынке, в условиях политической и экономической нестабильности, разгула мошенничества и организованной преступности, достаточно высокого уровня коррупции в среде государственных чиновников серьезно увеличивает набор угроз, а, соответственно, и рисков.
Тем не менее, управление рисками, то есть выявление и оценка угроз, а также разработка и внедрение мер по их минимизации, пожалуй, пока достаточно редко применяемая стратегия поведения в современном российском бизнесе.
Вместе с тем, по мере приближения России к цивилизованному рынку, именно управление рисками должно становиться ведущей стратегией предпринимателя, нацеленного на достижение успеха.
В процессе деятельности любой фирмы возникают риски нарушения безопасности информации, и, следовательно, угрозы нормальному функционированию самой фирмы.
Ввиду возможности появления для отдельной производственно-хозяйственной единицы больших потерь, связанных с реализацией риска, проблема управления рисками на уровне фирмы становится особенно актуальной.
Все мероприятия по защите информации, проводимые собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничивающих ее распространение и исключающих или существенно затрудняющих несанкционированный, незаконный доступ к засекреченной информации или ее носителям, направлены на уменьшение любых случайно возникающих убытков. Это и есть управление рисками.
Процесс управления рисками обобщенно может быть представлен в виде следующей схематичной последовательности действий: выявление предполагаемого риска - оценка риска - выбор методов управления риском - применение выбранных методов - оценка результатов.
Знать о возможном наступлении риска необходимо, но далеко не достаточно. Важно установить, как влияет на результаты деятельности конкретный вид риска, причем следует оценить вероятность того, что некоторое событие действительно произойдет, а затем - каким образом оно повлияет на экономическое положение фирмы в целом.
Выявление риска может осуществляться различными способами: от сложного вероятностного анализа в моделях исследования операций до чисто интуитивных предположений, основанных на практическом опыте. В любом случае действительность заставляет предпринимателя уделять должное внимание получению информации по тем или иным направлениям рисков, их последствиям и мерам по их минимизации.
Разработка программы управления рисками, связанных с информационной деятельностью предприятия требует широких знаний в нескольких областях - экономической, правовой, инженерно-технической, программной. Необходимо уметь использовать все многообразие методов снижения возможных экономических потерь в результате наступления какой-либо угрозы.
Предлагаемая работа посвящена конкретному процессу разработки и внедрения программы уменьшения любых случайно возникающих рисков и убытков, связанных с информационной деятельностью предприятия, фирмы при помощи одного из новых методов защиты информации - страхования.
В соответствии с Доктриной информационной безопасности Российской Федерации страхованию отводится немаловажное место в ряду экономических методов обеспечения информационной безопасности. В Доктрине ставится задача создания системы страхования информационных рисков физических и юридических лиц.
Действительно, опыт эксплуатации информационных систем и ресурсов в различных сферах деятельности неопровержимо показывает, что существуют различные и весьма реальные угрозы потери информации, приводящие к конкретному, материально выразимому ущербу.
При этом, достижение абсолютно полной, 100-процентной безопасности информации не только практически невозможно, но и, как правило, невыгодно из-за высокой стоимости систем защиты информации и снижения эффективности использования вычислительных ресурсов. Кроме того, как это хорошо знают специалисты, уровень защиты информации техническими средствами всегда имеет свой предел, поскольку зависит от развития технологии преодоления защитных барьеров.
Следовательно, имеется реальная возможность наступления непредвиденного события, то есть, страхового случая, влекущего за собой потерю работоспособности сложных информационно-телекоммуникационных систем и утрату конфиденциальности информации.
Целью создания системы страхования информационных рисков является формирование механизма компенсации финансовых потерь владельцам и пользователям информационных систем, ресурсов и технологий по причине утраты, искажения, хищения информации в результате компьютерных преступлений и мошенничества, несанкционированных действий третьих лиц, отказов, сбоев и ошибок, возникающих в технических и программных средствах вычислительной техники, неквалифицированных и преднамеренных действий обслуживающего персонала и других причин.
Вполне очевидно, что эта система должна содержать в себе комплекс законодательных и нормативных документов, определяющих область и порядок действия этого специфического вида страхования, включая организационные и методические документы, обеспечивающие необходимые условия для деятельности компаний, занимающихся страхованием информационных рисков.
Страхование информационных рисков достаточно новый вид профессиональной деятельности для российских страховщиков. Сегодня в России этим видом страхования занимается считанное количество страховых компаний.
Можно привести пример компании "Ингосстрах", подписавшей в 1999 году соглашение о сотрудничестве в области страхования информационных рисков с Министерством РФ по связи и информатизации, которая предлагает заинтересованным организациям полисы страхования от компьютерных и электронных преступлений с лимитом ответственности около 1 миллиона долларов США. В мае 2000 года эта компания впервые в России застраховала ответственность изготовителя средств защиты информации от несанкционированного доступа.
Национальная система страхования России в настоящее время показывает очень высокие темпы роста, превышающие аналогичные показатели в практически любой другой отрасли народного хозяйства. На протяжении последних лет наблюдается неуклонный рост совокупной страховой премии как в рублевом, так и в долларовом эквиваленте. Так, в первом полугодии 2000 года этот показатель достиг уровня, превышающего 73 миллиарда рублей, рост к соответствующему периоду 1999 года составил 183%.
Страховой рынок России развивается и освоение новых возможностей применения страховых услуг, в том числе в сфере обеспечения информационной безопасности, является актуальной задачей.
Пока детально разработанная система страхования информационных рисков отсутствует, предлагается обращаться к традиционным видам страхования и применить их к угрозам безопасности информации предприятия.
Данная тема является актуальной ввиду отсутствия каких-либо методических разработок в этой области. Необходимость изучения этой темы не вызывает сомнения, поскольку применение страхование как одного из способов защиты информации в большинстве случаев является экономически обоснованным. Традиционно сложилось так, что основная масса средств тратится на мероприятия, направленные на предотвращение угроз безопасности информации, а методам, направленным на предупреждение и компенсацию ущерба уделяется недостаточное внимание. С другой стороны применение методов возмещения убытков зачастую является более обоснованным с финансовой точки зрения.
С теоретической точки зрения целью данной работы является донесение информации о возможности использования страхования как эффективного метода защиты до специалистов в области защиты. С практической же точки зрения данная работа призвана помочь специалистам обосновать целесообразность применения страхования наряду с традиционными методами защиты перед лицом, принимающим решение о применении конкретных способов защиты.
Задачей данной дипломной работы также является разработка методики, призванной помочь выбрать из всего многообразия видов страхования те виды, которые обеспечивают страховую защиту наиболее рискованных ситуаций и объектов, связанных с созданием и эксплуатацией комплексной системы защиты информации. Предложенные методические рекомендации должны помочь при разработке мероприятий по защите информации и выборе страхования среди остальных методов защиты.
Анализ литературы по вопросам защиты информации и по вопросам страхования показывает, что практически отсутствуют сведения о страховании информационных рисков. Ввиду неразработанности в настоящее время данной темы, автору предлагаемой работы было необходимо рассмотреть разнообразную периодическую литературу. В результате анализа был выявлен ряд статей, материалы которых отражают отдельные направления данной тематики. Ввиду актуальности данной темы появились публикации, посвященные вопросу страхования рисков банков, связанных с совершением компьютерных и электронных преступлений. Можно отметить появление в последнее время материалов по вопросам анализа и оценки рисков в информационных системах. Отдельные публикации отражают конкретные разработки методик оценки состояния защищенности от информационных угроз и прочих рисков, влияющих на безопасность информации.
Предлагаемая работа подготовлена на основе журнальных публикаций и источников, отражающих общие сведения о порядке страхования рисков в России. Также в работе использовались материалы о создании и эксплуатации комплексных систем защиты информации. Ввиду отсутствия нормативной базы по вопросам страхования информационных рисков, были рассмотрены законодательные и подзаконные акты, касающиеся страхования в целом. Это Закон РФ "О страховании" от 27 ноября 1992 года, вступивший в силу с 12 ноября 1993 года, документ "Условия лицензирования страховой деятельности на территории Российской Федерации", введенном в действие с 1 ноября 1992 года, Постановление "О первоочередных мерах по развитию рынка страхования в Российской Федерации", Постановление правительства РФ "Об основных направлениях развития национальной системы страхования РФ в 1998-2000 годах", Доктрина информационной безопасности РФ, утвержденная Президентом РФ 09.09. 2000 г и др.
При написании дипломной работы были использованы материалы журналов "Конфидент", "Вопросы защиты информации", "Банковские технологии", "Закон", "Бизнес и безопасность в России", "Страховое дело" и другие. Также использовались материалы из сети Интернет.
Все источники - открытые.
Дипломная работа состоит из трех глав.
Первая глава посвящена вопросам организации защиты информации. Использование любых способов и методов защиты невозможно без знания методологической и нормативной базы. В главе рассмотрены основные понятия информационной безопасности и этапы создания системы защиты информации.
Вторая глава посвящена вопросам управления рисками. Она состоит из трех подразделов. Первый подраздел описывает максимально возможные риски, которые могут возникнуть в процессе работ по обеспечению защиты информации, рассматриваются сущность и содержание рисков в защите информации. Во втором подразделе предлагается методика анализа и оценки рисков в комплексной системе защиты информации. В третьем подразделе рассматриваются вопросы, обсуждение которых обусловлено необходимостью решения проблемы снижения возможных потерь. Описываются возможные методы управления рисками.
В третьей главе излагаются вопросы, связанные со страхованием рисков в защите информации. Глава состоит из пяти подразделов. Первый подраздел рассматривает страхование как элемент защиты, описывает преимущества использования страхования в качестве метода защиты информации. Во втором подразделе представлена теория страхования: его сущность, виды и разновидности. Третий подраздел посвящен конкретному применению страхования различного вида рисков при эксплуатации системы защиты информации. В четвертом подразделе рассматриваются перспективы развития страхового рынка России и освоения новых возможностей применения страховых услуг в сфере обеспечения информационной безопасности. Заключительный подраздел III главы представляет собой разработанные автором методические рекомендации по выбору видов страхования угроз безопасности информации учреждения, фирмы, предприятия.
В приложении представлены материалы, дополняющие дипломную работу.ЛитератураИспользованные источники:
1. Закон РФ "О безопасности" от 05.03.92 г.
2. Закон РФ "О частной детективной и охранной деятельности" от 11.03.92 г.
3. Закон РФ "О страховании" от 27.11.92 г.
4. Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 года
Использованная литература:
1. Абалмазова М. Э. Страхование как функция системы безопасности// Системы безопасности, связи и телекоммуникаций.-1996.-№3.-с. 90-91.
2. Алферов А. П. ФАПСИ и обеспечение региональной информационной безопасности//Конфидент.-2000.-№2.-с. 12-15.
3. Алякринский А. Л. Правовое регулирование страховой деятельности в России.-М.: Ассоциация "Гуманитарное знание", 1994.- 461 с.
4. Балабанов И. Т. Риск-менеджмент. М.: Финансы и статистика, 1996.
5. Гудков П. Б., Кривошеев В. А. Страхование как элемент защиты банка// Конфидент.-1999.-№3.-с. 26-28.
6. Журавлев Ю. М., Секерж И. Г. Страхование и перестрахование (теория и практика).- М.: Издательский центр СО "Анкил", 1993.
7. Кузин Ф. Защищайтесь, мсье//Известия.-2000.-2 июня.
8. Левицкий Ю. Знать больше, чтобы терять меньше//Бизнес и безопасность в России.-2000.-сентябрь-октябрь.-с.12-13.
9. Лившиц Н. В., Ивонин М. В. Методика оценки состояния защищённости информации//Безопасность информационных технологий.-1999.-№4.-с. 55-67.
10. Мареева О. Страховка - мера ответственности за клиента и за Вас//Бизнес и безопасность в России.-2000.-июль-август.-c.40-41.
11. Михайлов В. Риск в бизнесе//Закон.-2000.-№7.-с. 53-55.
12. Плешков А. Вторичные виды имущественного страхования//Страховое дело.-1999.-№7.-с.17
13. Поволоцкий А. М. Методология обеспечения компьютерной безопасности: анализ риска и определение перспективного плана (опыт ЮАР)//Вопросы защиты информации.-1995.-№2(29).-с. 25 30.
14. Сербиновский Б. Ю., Гарькуша В. Н. Страховое дело: Уч. пособие для вузов.- Ростов н/ Д: "Феникс", 2000.-384 с.
15. Симонов С. В. Методология анализа рисков в информационных системах//Конфидент.-2001.-январь-февраль.-с. 72-78.
16. Скородумов Б. Особенности защиты информации автоматизированных банковских систем (часть 1)// Банковские технологии.-2001.-№2.-с. 48-51
17. Скородумов Б. Особенности защиты информации автоматизированных банковских систем (часть 2)//Банковские технологии.-2001.-№4.-с. 45-48
18. Соколов В. С. Классификация противопожарных систем//Системы безопасности, связи и телекоммуникаций.-1997.-№3.-с. 30-33.
19. Соколов В. С. Пожарная безопасность и легализация в России деятельности зарубежных страховщиков//Системы безопасности, связи и телекоммуникаций.- 1998.-№2.-с. 52-57.
20. Терещенко Л. С. Страхование архивных документов//Отечественные архивы.-1995.-№4.-с. 28-32.
21. Федоров А. INTERNET в цифрах и фактах. Осень 2000-го//Компьютер-пресс.-2000.-№10.-с. 165-168.
22. Халяпин Д. Б., Ярочкин В. И. Основы защиты информации (Учебное пособие).-М.: ИПКИР, 1994.
23. Чернова Г. В. Практика управления рисками на уровне предприятия.-СПб: Питер, 2000.-176 с.: ил.
24. Шиверский А. А. Защита информации: проблемы теории и практики.-М.: Юристъ, 1996.-112 с.
25. Шиминова М. Я. Основы страхового права России.-М.: Издательский центр СО "Анкил", 1993.
26. Энциклопедия промышленного шпионажа/ Ю. Ф. Каторин, Е. В. Куренков, А.В.Лысов, А. Н. Остапенко.- С.-Петербург: ООО "Издательство Полигон", 1999.- 512 с., ил.
27. Юргенс И. Ю. Страховая защита//Бизнес и безопасность в России.- 2001.-№1.-с.22-24.
|
|
