Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Глава 2. Информационная безопасность и мультимедиа в современных условиях




 

Проблемы информационной безопасности в современных условиях

 

Мировой экономический кризис диктует свои условия всем участникам рынка. Имеет свои особенности и защита информационного пространства компании. Чем в более сложных условиях находятся компании, тем сильнее конкуренция между ними. До кризиса компании вполне мирно ужились со своими конкурентами. Сегодня реалии существенно изменились, и эти изменения коснулись финансового рынка, пожалуй, раньше всего. Конкуренция стала более жесткой, и нередко в конкурентной борьбе компании используют недобросовестные приемы. Не последнее место в их списке занимает покупка у сотрудников конкурирующих компаний инсайдерской информации, которая может быть использована как самой компанией, так и предана огласке с целью подорвать бизнес конкурентов. Ущерб от утечек информации в условиях кризиса может быть существенно больше, чем в "обычной" жизни, а потому оставлять эту проблему без должного внимания означает идти на неоправданный риск. Единственным правильным вариантом борьбы с подобными явлениями может считаться только усиление контроля над действиями сотрудниками, среди которых потенциально могут оказаться инсайдеры.

Безусловно, информационная безопасность компании не ограничивается защитой от утечек информации, однако все ее аспекты невозможно охватить в одной работе, поэтому мы остановимся именно на вопросах защиты от инсайдеров.

Кризис влияет на активность инсайдеров, о чем свидетельствует статистика. По сравнению с прошедшим годом резко увеличилось количество сообщений об утечках информации в прессе. Исследования прессы, проведенные компанией "Новые поисковые технологии", специализирующейся на информационной безопасности, показали, что только за первые четыре месяца текущего года российская пресса зафиксировала утечек на 16% больше, чем за весь 2013 г. При этом доля умышленных утечек конфиденциальной информации составила 38%. Следует отметить, что это только те утечки, которые попали в поле зрения прессы, т.е. фактически это вершина айсберга. В условиях кризиса заработать стараются и сотрудники компаний, которые почувствовали на себе, что означает на практике уменьшение заработной платы. При этом от утечек конфиденциальной информации не застрахованы ни частные компании, ни государственные организации. Согласно результатам исследования кадрового холдинга АНКОР около 13% сотрудников ИТ-отделов получали предложения о продаже информации, являющейся конфиденциальной или составляющей коммерческую тайну той или иной компании. Всего же различную информацию, принадлежащую официальному работодателю, так или иначе для своего приработка используют 22% сотрудников.

Повышение общего уровня компьютерной культуры всех пользователей, осознание ими остроты существующих проблем в области информационной безопасности являются важными условиями успешности усилий в борьбе со злоумышленниками.

Безусловно, одними лозунгами и пропагандистскими лекциями достичь необходимого уровня защищенности ресурсов невозможно. Также нельзя полностью полагаться только на эффективность технических средств. В качестве характерного примера можно привести антивирусную защиту. Несмотря на прилагаемые усилия в изучении современных, в том числе эвристических, методов борьбы с вредоносными программами, пока рано говорить о создании действительно эффективных упреждающих антивирусных программ. По-прежнему многое зависит от своевременности обновлений, выбора правильного соотношения между вероятностями ложной тревоги и пропуска вредоносного кода.

Желаемого эффекта можно добиться только за счет оптимального сочетания технических и организационных мер. В данном контексте к техническим мерам отнесем программные и аппаратные средства, а к организационным - комплекс нормативных и организационно-распорядительных документов, регламентирующих действия всех участников создания, обработки, хранения и уничтожения информации.

В настоящее время рынок предлагает большое число различных решений в области антивирусной защиты, контроля доступа и пр. По мере развития информационной системы, существенного увеличения числа пользователей и объемов обрабатываемой информации усложняются и проблемы построения согласованной системы информационной безопасности. Приходится менять привычные представления об объектах защиты. Например, зачастую бывает непросто определить сам периметр защищаемого объекта. Учитывая наличие многочисленных связей между вашей информационной системой и внешними информационными системами, возникает вопрос о разделении зон ответственности.

В связи с изложенным одной из доминирующих тенденций в настоящее время становится построение комплексных интегрированных систем информационной безопасности, включающих в себя согласованные между собой все необходимые технические устройства. Это так называемые коробочные решения, когда пользователь покупает отдельный (например, антивирусный) комплекс и самостоятельно устанавливает его, все больше становятся уделом индивидуальных или весьма малых информационных систем. Создание упомянутых комплексных систем подразумевает всестороннее обследование всей существующей информационной структуры, внесение в нее изменений, необходимых для эффективного функционирования средств защиты, последующее встраивание дополнительных устройств и программных комплексов.

При этом, во-первых, необходимо обеспечить самое тесное взаимодействие между разработчиками, информатизаторами и специалистами подразделения информационной безопасности, с тем чтобы разработанная и построенная система в полной мере отвечала потребностям данной конкретной организации и строго решала именно поставленные задачи.

Во-вторых, необходимо оценивать экономическую целесообразность предлагаемой разработчиками системы, и не только с точки зрения финансовых последствий ложной тревоги и оставления незамеченным значимого с точки зрения безопасности события. Любой новый элемент, будучи внесенным в информационную структуру, всегда усложняет ее, увеличивает вероятность сбоев, нагрузку на коммуникационные устройства и пр., следовательно, требует установки более совершенного и производительного, то есть дорогостоящего оборудования.

Более того, возникает необходимость содержания отдельной группы работников, решающих только проблемы информационной безопасности.

Не случайно в статьях и выступлениях, посвященных рассматриваемой проблеме, много внимания уделяется взаимодействию подразделений информатизации и информационной безопасности. Прежде всего, обе эти службы неразрывно связаны единой сферой деятельности. Вместе с этим их бюджеты существенно разнятся. В качестве образца, к которому желательно стремиться, нередко приводят цифру, достигнутую в крупных компаниях США, - 5% от IT-бюджета там выделяется на решение проблем информационной безопасности. Естественно, заметно отличаются и численности этих подразделений.

При этом, как было отмечено выше, роль сотрудников, обеспечивающих информационную безопасность в формировании конечного продукта, достаточно велика. Более того, с ростом угроз и изощренности злоумышленников, усложнением информационной структуры организации весьма существенно возрастает и их ответственность, быстро увеличивается количество решаемых задач.

Не только в нынешних кризисных условиях, но и в периоды относительного благополучия стратегия расширения подразделений информационной безопасности вслед за возникновением новых проблем в данной сфере является тупиковой. Экстенсивный подход не оправдан ни с экономической, ни с организационной точки зрения. Тем более что существует существенная нехватка специалистов в области информационной безопасности. Так, согласно результатам совместного исследования компании Perimetrix и сообщества ABISS 86,1% опрошенных банков имели открытые вакансии технических специалистов по информационной безопасности, а 75,7% - менеджеров по информационной безопасности. Причина "кадрового голода" - низкие зарплаты, а не слабая работа вузов.

Единственный приемлемый путь выхода из этой ситуации - автоматизация реализуемых подразделениями информационной безопасности процессов, построение автоматизированной системы управления информационной безопасностью.

Взаимное положение подразделений информатизации и информационной безопасности в общей организационной структуре редакций, их отношение к существующей информационной структуре определяют возникновение объективных противоречий между ними.

Первые заинтересованы в том, чтобы обслуживаемая ими структура работала бесперебойно, чтобы в ней не было ничего лишнего (не обеспечивающего непосредственно функционирование системы).

Вторые в большей степени заинтересованы в том, чтобы каждый элемент структуры был максимально защищен и обеспечен дополнительными средствами контроля. Они постоянно вмешиваются в работу системы и т.д.

Результаты недавнего исследования корпорации IDC показывают, что компаниям с трудом удается найти сбалансированный подход в одновременном обеспечении информационной безопасности и внедрении новых технологических решений. Исследование, проведенное по заказу специалистов RSA (подразделение корпорации EMC, специализирующееся на решениях в области информбезопасности), показало, что в 80% случаев информационные угрозы препятствуют внедрению инноваций в бизнес. IDC также удалось выяснить, что 80% руководителей компаний считают свои отделы IT-безопасности ответственными за недостаточное инновационное развитие бизнеса. При этом лишь 44% глав отделов информационной безопасности полагают, что влияние их работы на инновационную сферу бизнеса должным образом оценивается.

Эти результаты указывают на несоответствие между ожиданиями высшего руководящего состава и приоритетами специалистов информбезопасности. Только 21% респондентов уверены в том, что их организации успешно проводят проактивную политику IT-безопасности, не препятствующую и даже способствующую внедрению инноваций. Вице-президент IDC Крис Кристиансен полагает, что в сегодняшних условиях (при отсутствии здоровой инновационной среды) бизнес не может расти. По его словам, несмотря на некоторый прогресс в исследованной области, безопасность и инновации до сих пор противопоставляются, хотя оба направления, по сути, являются взаимодополняющими.

Отметим, что разрешению и предотвращению перерастания межгрупповых конфликтов в межличностные, переводу участников из отношений противоборства в отношения сотрудничества во многом может способствовать обоснованная и сбалансированная система организационных мер обеспечения информационной безопасности, разработанная в организации с учетом ее специфики. Она адресуется наиболее важной части организации - персоналу.

Эта система мер должна быть сформулирована в минимальном количестве документов, однозначно регламентирующих взаимодействие всех участников технологических процессов с использованием информационной структуры.

Анализ реализуемых в различных организациях технологических процессов, современная тенденция перехода от функциональной организационной структуры к матричной показывают, что практически все ключевые процессы, происходящие в организации, проходят через подразделение информационной безопасности, его сотрудники в той или иной степени участвуют в каждом значимом проекте. В связи с этим становится очевидным, что система организационных мер в области информационной безопасности окажет непосредственное влияние на всю систему взаимоотношений в коллективе и на функционирование организации в целом. Регламенты неизбежно будут затрагивать интересы участников, ограничивать их возможности при реализации конкретных функций, усложнять работу и, следовательно, жизнь.

Степень влияния практического решения вопросов информационной безопасности на функционирование всей организации определяет необходимость непосредственного участия именно первого лица организации на всех важных этапах разработки указанных документов - от определения целей до их утверждения и контроля за исполнением.

Процесс разработки комплекта регламентирующей документации должен строиться на основе корпоративной стратегии и корпоративной культуры, учитывать не только исторически сложившиеся реалии, но и новейшие достижения науки, опыт и разработки других организаций. Определение приоритетов, создание научно обоснованных, прозрачных единых требований к персоналу и техническим средствам, правил обращения с информационными активами, вычислительными и телекоммуникационными системами, унификация используемых технических средств и методик невозможны без стандартизации.

 


2.2 Особенности развития средств мультимедиа

 

Мультимедиа - интерактивная система, обеспечивающая одновременное представление различных медиа - звук, анимированная компьютерная графика, видеоряд. Например, в одном объекте-контейнере (англ. container) может содержаться текстовая, аудиальная, графическая и видеоинформация, а также, возможно, способ интерактивного взаимодействия с ней.

Термин мультимедиа также, зачастую, используется для обозначения носителей информации, позволяющих хранить значительные объемы данных и обеспечивать достаточно быстрый доступ к ним (первыми носителями такого типа были Компакт-диски). В таком случае термин мультимедиа означает, что компьютер может использовать такие носители и предоставлять информацию пользователю через все возможные виды данных, такие как аудио, видео, анимация, изображение и другие в дополнение к традиционным способам предоставления информации, таким как текст

Каким образом информация мультимедиа может покидать пределы компании и становиться достоянием общественности или оружием конкурентов? Вариантов, к сожалению, достаточно много. Наибольшую популярность у инсайдеров получили небольшие портативные носители информации, например "флэшки", имеющие малые физические размеры, но способные переносить большой объем информации. Популярны также фотоаппараты, MP3-плееры, мобильные телефоны, обладающие теми же преимуществами. Впрочем, инсайдеры используют и менее емкие носители информации, в частности бумагу, на которой можно распечатать важный финансовый отчет. Беспроводные технологии (Bluetooth, Wi-Fi) тоже не остаются без их внимания, так как позволяют передавать содержание закрытого совещания, взяв с собой ноутбук.

Конечно, популярны у инсайдеров и электронные средства коммуникации: электронная почта, программы для мгновенного обмена сообщениями (ICQ, IRC, MSN Messenger, Skype). В последнее время мессенджеры, e-mail и Skype стали еще более актуальны для инсайдеров, поскольку из-за их дешевизны компании предпочитают их вместо традиционных телефонных переговоров и факса, а следовательно, и большинству сотрудников получить доступ к ним проще. Пожалуй, именно этим опасностям необходимо сейчас уделять внимание в первую очередь.

Многие сегодня используют Skype как альтернативу классической телефонии. Действительно, эта программа чрезвычайно удобна тем, что позволяет осуществлять сравнительно дешевые междугородные и международные переговоры, причем с ее помощью можно позвонить с компьютера даже на мобильный или городской телефон. В то же время, с точки зрения инсайдера, Skype - настоящая находка, поскольку позволяет передавать информацию в защищенном режиме, при этом можно не опасаться ее перехвата и расшифровки на пути к конечному адресату.

Голосовые переговоры с помощью Skype для инсайдера не слишком удобны по той причине, что зачитывание вслух конфиденциальной информации сопряжено с рядом непреодолимых трудностей. Во-первых, большие объемы информации при передаче через голосовую связь требуют большого количества времени, а во-вторых, инсайдер может сделать ошибку при передаче данных (например, номера банковского счета или редко встречающейся фамилии). Кроме того, при передаче важной информации посредством аудиосообщений коллеги, прислушивающиеся волей-неволей к разговорам по Skype, обязательно заподозрят что-то неладное и заинтересуются темой разговора.

Таким образом, при всех достоинствах голосового общения, в котором крайне сложно выделить конфиденциальную информацию с помощью специализированных автоматизированных систем, вероятность использования этого канала инсайдерами минимальна. Кстати, даже при отсутствии возможности распознавания отдельных слов в речи современные системы предотвращения утечек данных позволяют записывать поток аудиоданных, для того чтобы его потом мог прослушать специалист, ответственный за информационную безопасность.

Однако Skype позволяет вести не только телефонные переговоры. С его помощью можно также мгновенно обмениваться сообщениями и пересылать файлы, и эти возможности программы с точки зрения инсайдера выглядят более привлекательными. Передача базы данных целиком, несомненно, более удобна, чем зачитывание отдельных записей из нее. Помимо этого очевидным является тот факт, что важные документы проще передавать с помощью текстовых сообщений, чем голосовых, поэтому на предотвращение утечек посредством пересылки сообщений и файлов необходимо обратить особое внимание при разработке политики защиты от утечек информации с использованием Skype.

К сожалению, для предотвращения угроз утечки информации через Skype, которые так серьезны для финансовых компаний, решений не слишком много в отличие, например, от решений по перехвату электронной почты. Впрочем, если воспользоваться поиском по Интернету, то можно узнать, что компания "Софт Информ" уже разработала для специалистов по безопасности решение Skype Sniffer.

Тем не менее, Skype далеко не самая широкая брешь в информационной безопасности большинства компаний, хотя и через нее утекает значительный объем информации. Напомним, что мы говорим об условиях кризиса - о времени, когда компании стараются сократить свои расходы по каждой из потенциально расходных статей бюджета. Велик соблазн "оптимизировать", т.е. сократить расходы на содержание отдела информационной безопасности. Безусловно, разумная экономия - явление очень своевременное в условиях кризиса, однако необходимо спланировать мероприятия по сбережению средств на информационную безопасность таким образом, чтобы в результате не получить ущерб на сумму, многократно превышающую сэкономленные средства.

Первое, что приходит в голову, - это сократить численность сотрудников отдела информационной безопасности. Но эта идея плоха: гораздо продуктивнее отказаться от систем видеонаблюдения и перейти на программные средства защиты. Программные продукты для защиты от утечек информации позволяют отказаться от использования дорогостоящего оборудования для слежения, а количество человек, на плечи которых ляжет анализ собираемых системой данных и мониторинг выдаваемых ею предупреждений, не превысит двух-трех. Такие системы, конечно, стоят недешево, но видеооборудование стоит в несколько раз дороже и обеспечивает гораздо менее эффективную защиту от утечек информации.

При выборе системы защиты от утечек информации необходимо обязательно учесть, во сколько компании обойдется, в конечном счете, ее внедрение. Возможно, будет гораздо выгоднее купить более дорогой программный продукт, не требующий тщательной настройки специалистами той компании, которая продает эту систему защиты, чем оплачивать многомесячный труд этих специалистов. Кроме того, при выборе системы необходимо по возможности избегать доступа "внедренцев" к той информации, утечку которой нужно предотвратить.

Покупке системы защиты должна предшествовать выработка политики компании в области информационной безопасности, и здесь экономить уже не нужно, хотя иногда возникает желание сразу приступить к внедрению системы защиты от утечек, чтобы работники отдела информационной безопасности занимались делом. Однако этот этап предварительной работы так же важен, как и этап проектирования при постройке зданий. Если компания не выработает четкой политики информационной безопасности, то будет крайне проблематично требовать от сотрудников соблюдать ее, а также контролировать это соблюдение с помощью приобретенной системы. Сэкономить в этом случае можно путем привлечения к разработке политики безопасности не сторонних специалистов, а сотрудников, ответственных за информационную безопасность в самой компании.

В заключение хотелось бы сказать, что кризис - это сложное испытание для большинства редакций. Но если действовать разумно и не уповать на работавшие до него шаблоны, то можно выявить недобросовестных сотрудников, готовых продать на сторону конфиденциальную информацию.

 


Заключение

 

По результатам проведенного исследования можно сделать следующие выводы.

В последнее время в научной литературе возросло количество исследований, посвященных проблемам безопасности.

В Доктрине информационной безопасности РФ информационная безопасность Российской Федерации определяется как состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

В информационном пространстве уже сформировались основные группы участников, сложились свои специфические законы и обычаи. Кроме этого, желательно по возможности четко определить, что же организация должна оберегать, применяя современные информационные технологии в процессах коммуникации.

Крайне опасны внутренние источники угроз. Возвращаясь к ранее высказанной мысли о превалирующей ценности персонала, следует подчеркнуть необходимость уделять серьезное внимание, во-первых, повышению уровня "грамотности" в области информационной безопасности и, во-вторых, лояльности по отношению к организации ее работников.

Наибольшую опасность несут в себе организованные группы злоумышленников, которые включают внешних и внутренних нарушителей, действующих согласованно.

Усилия и затраты по совершенствованию безопасности собственных информационных ресурсов обеспечивают рост знаний, навыков и общей культуры, развитие компетенций в данной сфере и, таким образом, повышают общий уровень безопасности.

Повышение общего уровня компьютерной культуры всех пользователей, осознание ими остроты существующих проблем в области информационной безопасности являются важными условиями успешности усилий в борьбе со злоумышленниками.

Взаимное положение подразделений информатизации и информационной безопасности в общей организационной структуре редакций, их отношение к существующей информационной структуре определяют возникновение объективных противоречий между ними.

Первые заинтересованы в том, чтобы обслуживаемая ими структура работала бесперебойно, чтобы в ней не было ничего лишнего (не обеспечивающего непосредственно функционирование системы).

Вторые в большей степени заинтересованы в том, чтобы каждый элемент структуры был максимально защищен и обеспечен дополнительными средствами контроля. Они постоянно вмешиваются в работу системы и т.д.

Мультимедиа - интерактивная система, обеспечивающая одновременное представление различных медиа-звук, анимированная компьютерная графика, видеоряд. Например, в одном объекте-контейнере (англ. container) может содержаться текстовая, аудиальная, графическая и видеоинформация, а также, возможно, способ интерактивного взаимодействия с ней.

В заключение хотелось бы сказать, что кризис - это сложное испытание для большинства компаний. Но если действовать разумно и не уповать на работавшие до него шаблоны, то можно выявить недобросовестных сотрудников, готовых продать на сторону конфиденциальную информацию.

 


Библиографический список

 

1. Закон РФ от 5 марта 1992 г. N 2446-1 "О безопасности" (с изм. от 25 декабря 1992 г., 24 декабря 1993 г., 25 июля 2002 г.) // Российская газета. 6 мая 1992. N 103. Ст. 1.

.   Баранов А.П., Григорьев В.Р. О возможности структуризации понятия "безопасность системы" // Материалы конференции "Проблемы внутренней безопасности России в XXI веке" / Науч. ред. В.А. Возжеников. - М.: ЗАО "ЭДАС-ПАК", 2001.

.   Галямов Р.Р. Информационная безопасность - фактор обеспечения конкурентных преимуществ // Управление в кредитной организации, 2009, N 3. - С.25.

.   Емельянов Г.В., Стрельцов А.А. Информационная безопасность России. Учебное пособие / Под ред. А.А. Прохожева. М.: Всероссийский научно-технический информационный центр. 2000. - С. 5, 6.

.   Засецкая К. Информационная безопасность, комплексная защита информации - насколько актуальны сегодня эти вопросы? // Управление персоналом. 2010. - № 11.

.   Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2010.

.   Идов Р. Информационная безопасность в условиях кризиса // Финансовая газета. Региональный выпуск, 2009, N 33. - С. 5.

.   Калина Е.С. Понятие безопасности и право на безопасность как одно из личных прав // Научные труды. Российская академия юридических наук. Выпуск 4: В 3 т. Т. 1. - М.: Издательская группа "Юрист", 2004. С. 359 - 361

.   Кирьянов А.Ю. Общая характеристика понятия "безопасность". Подходы к определению и виды // Безопасность бизнеса. 2010. № 1.

.   Кортунов С.В. Становление политики безопасности: Формирование политики национальной безопасности России в контексте проблем глобализации. - М.: Наука, 2003.

.   Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. - СПб.: Фонд «университет», 2010. С. 74.

.   Могилевский В.Д. Системная безопасность: формализованный подход // Материалы конференции "Проблемы внутренней безопасности России в XXI веке" / Науч. ред. В.А. Возжеников. - М.: ЗАО "ЭДАС-ПАК", 2001. С. 86.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...