Информационная безопасность предприятия: угрозы и средства защиты

Методика определения уровня защищенности и актуальности той или иной угрозы также содержит определенные сложности. К одному показателю может подойти сразу несколько значений, а может не подойти ни одного, что также создает сложности в вычислениях. Актуальность угрозы также зависит от предпосылок, но неактуальные угрозы также должны быть включены в список угроз, но с нулевым значением вероятности, это предполагает произведение большого количества лишних расчетов для угроз, не имеющих никаких предпосылок[12, с. 52]. Также вызывает сложности процесс определения показателя «опасность угрозы». Высокая, средняя и низкая опасность определяется в соотношении масштаба последствий, которые могут произойти при реализации той или иной угрозы. В соответствии с действующей методикой определить значимость или незначительность негативных последствий можно с помощью опроса экспертов. Анализ метода экспертной оценки, в свою очередь, показал большое количество недостатков использования данного метода. Данный метод отличается высоким уровнем субъективности оценки и наличием человеческого фактора, который может стать причиной определения степени опасности угрозы информационной безопасности, как низкой, с целью сокращения списка актуальных угроз. Действующая методика привязана к субъектам персональных данных и к самим персональным данным, что приводит к значительным сложностям в процессе разработки моделей угроз для информационных систем без персональных данных.2.3 Оценка современных методов и средств защиты информацииМассив информации, который обрабатывается в информационно телекоммуникационной системе, предоставляет потенциальную возможность для выявления угроз безопасности, которые в свою очередь, могут быть вызваны явлениями, процессами или действиями, провоцирующими причинение ущерба. Для объектов информатизации актуальными и основными источниками внешних антропогенных угроз безопасности информации являются:– злоумышленники, которые осуществляют преднамеренное воздействие деструктивного характера на информационные ресурсы; – подрядчики, производящие монтажные и наладочные работы технического оборудования информационных систем; –поставщики программно-технических средств и услуг. Основными источниками внутренних антропогенных угроз являются: – сотрудники, действующие вне регламентированныхполномочий, несущие преднамеренный характер угроз; – сотрудники, действующие в рамках регламентированных полномочий, несущие непреднамеренный характер угроз[19, с. 356]. К основным техногенным источникам угроз можно отнести неблагоприятные события техногенного характера, включая аварии на средствах телекоммуникационной инфраструктуры, на средствах инженерных коммуникаций, отказы и сбои в работе оборудования. Служба безопасности на предприятии выглядит следующим образом (рисунок 6).Рисунок 6 – Служба безопасности предприятия[17, с. 400]Объем аудита в организации зависит от ценности обрабатываемой информации. Для организации аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг[1, с. 35]. За основу информационной безопасности в организации можно взять следующие пункты, представленные на рисунке 7.Рисунок 7 – Основные составляющие политики информационнойбезопасности предприятия[18, с. 26]Как видно из рисунка 7 в политике информационной безопасности отражаются взаимосвязанные этапы организации информационной безопасности предприятия, которые представлены процедурами, позволяющими систематизировать и эффективно решать поставленные задачи для того, чтобы достичь требуемый уровень защиты данных[19, с. 425].Если проанализировать имеющуюся на предприятии систему информационной безопасности, то необходимо прежде всего рассмотреть метод SWOT анализа (таблица 3).Таблица 3 – SWOT-анализ системы информационной безопасности в организации[4, с. 170]Сильные стороны:- наличие сертифицированных средствзащиты информации;-подбор высококвалифицированногоперсонала.Слабые стороны:- отсутствие опыта применения на практикедоступных технологий;- отсутствие системы контроля управлениядоступом.Возможности:- повышение квалификации персонала;- закупка нового оборудования.Угрозы:- возможен съем информации по техническимканалам утечкиданных;- подкуп сотрудников.Для объектов актуальными уязвимостями являются: – ошибки, совершенные в процессе проектирования объектов информатизации, включая физический износ оборудования, относительно небольшой промежуток времени наработки на отказ техники и программного обеспечения; – недостаточная техническая укрепленность и недостаточный уровень организации системы охраны, включая нарушения эксплуатации технических средств, таких как: жизнеобеспечения и энергообеспечения; – особенности сотрудников морального и физического плана, которые могут являться предпосылками к криминальному или террористическому воздействию, к которым можно отнести: недовольство положением, недовольство действиями руководства, психологическая несовместимость некоторых сотрудников, психосоматическое и физическое состояние; – восприимчивость программного обеспечения к вирусам и вредоносным программам; – возможность несанкционированной модификации программных вызовов, кода, использование среды программирования автоматизированной информационной системы; – уязвимости СиЗи (системы защиты информации); – несоответствующая настройка конфигурации программного обеспечения с регламентирующей правовой базой, включая средства защиты информации, неконтролируемость их изменений, не декларированные действия сотрудников при управлении программным оборудованием; – неполная регламентация ответственности взаимодействия в договорах с подрядчиками; – несоответствие деятельности и текущего состояния объекта защиты, отсутствие соответствующего контроля за исполнением сотрудниками регламентов деятельности, включая установку стороннего программного обеспечения, нарушение регламента в процессе обмена информацией, уничтожения производственных отходов и носителей информации. ЗаключениеВ заключении данного исследования необходимо сформулировать следующие выводы. На первом плане у каждого хозяйствующего субъекта должна стоять задача по обеспечению условий, гарантирующих стабильную деятельность и экономическую безопасность. Под экономической безопасностью принято понимать – такое состояние предприятия, при котором оно функционируя способно минимизировать как внешние, так и внутренние угрозы, способствующие допущению убытков и ведущих к несостоятельности (банкротству). Поскольку Информация на данный момент чаще всего располагается во внешней среде, за которую отвечает информационные технологии. Таким образом, необходимо рассмотреть сущность и понятие такого явления, как экономическая безопасность организации, поскольку далее в данной работе речь пойдет о сущности информационной безопасности в системе экономической безопасности предприятия.Четко сформулированный план действий предприятия способен существенно улучшить настоящее экономическое положение и минимизировать возникшие риски. При анализе зоны риска нужно установить объект, на который направлена гипотетическая угроза.Необходимо на раннем этапе выявлять имеющиеся проблемы путем анализа и мониторинга как количественных, так и качественных показателей. Также имеется необходимость в исследовании и оптимизации имеющихся процессов с целью предотвращения имеющихся угроз и негативных последствий в виде кризисных ситуаций.Интеллектуальная составляющая связана с прежде всего не разглашением коммерческой тайны предприятия сотрудниками. В отчетах компаний, оказывающих информационные услуги, приводится квартальная или полугодовая статистика по тем рискам, которые наиболее часто реализовывались в истекшем периоде и прогнозируются на будущий. Часто такая статистика предоставляется по отраслям. В этих отчетах могут быть представлены цифры ущерба, причиненного экономике, отрасли или отдельному предприятию при реализации угрозы. Эти цифры далеко не всегда верны, многие компании утаивают реальные данные, опасаясь репутационных рисков.Слив информации инсайдерским каналам производится все чаще влечет за собой более серьёзные последствия, из-за чего предприятию приходится направлять средства на защиту и минимизацию данных угроз. Также, возрастают хакерские нападения из внешней среды, к ним могут относиться вирусная угрозы, которые являются весьма опасными для информационной безопасности предприятия, для них внедряются современные средства защиты информация. Поскольку во многих предприятиях обострилась проблема утечки конфиденциальной информации и снижение уровня информационной безопасности, стоит рассматривать комплексный подход по минимизации данных рисков и угроз. Данный подход на практике совмещает, как количественные, так и качественные подходы по оценке угроз и берёт во внимание множество факторов, что и обеспечивает комплексный подход к решению данной проблемы.Ключевыми направлениями факторного анализа будут являться:– оценка состояния имеющегося у предприятия имущества и источников, которые его формируют;– оценка оборотных активов, и определение их достаточного объёма;– определение оборачиваемости основных средств предприятия;– определение платежеспособности и ликвидности организации;– анализ показателей рентабельности.Ключевым в данной стратегии является увеличение ликвидности и платежеспособности предприятия, поскольку оно заключается в управлении оборотными активами. данный процесс заключается в оптимизации источников, обеспечивающих надлежащее количество оборотных средств на предприятии, а также размещение данных средств между материальными активами и непосредственно производством.При анализе зоны риска нужно установить объект, на который направлена гипотетическая угроза. С технической точки зрения объектами становятся информация, оборудование, программы, каналы связи, системы управления и контроля. Классическими «жертвами» злоумышленников становятся признаки доброкачественности информации, конфиденциальность. Этот риск реализуется при неправомерном доступе к данным и их последующей утечке, целостность. В результате реализации риска данные могут быть утрачены, модифицированы, искажены, и принимаемые на их основе решения, управленческие или технические, окажутся неверными, доступность. Доступ к данным и услуге блокируется или утрачивается.Анализ вероятности реализации угрозы и ущерба от ее возникновения.Список использованных источников1. Абрютина, М. С. Анализ финансово-экономической деятельности предприятия / М.С. Абрютина, А. В. Грачев. - М.: Дело и сервис, 2016. - 272 c.2. Акулич В. Оценка финансового состояния предприятия в соответствии с Инструкцией по анализу и контролю за финансовым состоянием и платежеспособностью субъектов предпринимательской деятельности // Финансовый директор – 2007. – 77 с.3. Алферова, Л. А. Экономическая теория. Часть II. Макроэкономика: учеб. пособие [Электронный ресурс] / Л. А. Алферова. – Томск: ТУСУР, 2013. – 208 с. – Режим доступа: https://edu.tusur.ru/training/publications/3839 (дата обращения: 10.01.2019).4. Аннагулыев, Г. П. Учет материально-производственных запасов в соответствии с МСФО / Г.П. Аннагулыев // Актуальные проблемы развития экономики, финансов, бухгалтерского учета и аудита в регионе: сборник научных статей / под общ. ред. д-ра экон. наук, проф. Н. И. Куликова. – Тамбов: Изд-во ФГБОУ ВО «ТГТУ», 2018. - С. 169–1755. Антонов, Г.Д., Иванова, О.П., Тумин В.М. Управление проектами организации. – М.: ИНФРА-М, 2019. – 244 с.6. Бережная, Е.В., Бережной, В.И. Методы и модели принятия управленческих решений: Учеб. пособие. – М.: ИНФРА-М, 2017. – 384 с.7. БогомоловВ.А Введение в специальность «Экономическая безопасность». Учебное пособие для студентов вузов. Гриф УМЦ "Профессиональный учебник" / Богомолов Виктор Александрович. - М.: Юнити-Дана, 2016. - 588 c.8. Бороненкова, С.А., Мельник, М.В., Комплексный экономический анализ в управлении предприятием: учеб. пособие – М.: ФОРУМ: ИНФРА-М, 2018. – 325 С.9. Булгакова, М. А. Интеграция России в ВТО: особенности обеспечения экономической безопасности отдельных отраслей промышленности (на примере лесопромышленного комплекса): моногр. / М. А. Булгакова. - М.: Синергия, 2018. - 916 c.10. Войтоловский, Н. В. Комплексный экономический анализ предприятия / ВойтоловскийН.В.. - М.: Книга по Требованию, 2015. - 576 c.11. Григорьева, Е. А. Институциональное обеспечение модернизации экономики как условие экономической безопасности / Григорьева.Е. А. - М.: ИНФРА-М, 2016. - 160 c.12. Девяткин, О.В, Акуленко, Н.Б. Экономика предприятия (организации, фирмы) – 5-е изд.,перераб. и доп. – М.: ИНФРА-М, 2019. –777 с.13. Евдокимов, Д.К. Нормирование материальных ресурсов. Словарь-справочник / Д. К. Евдокимов, Г.М. Покараев. - М.: Экономика, 2016. - 199 c.14. Елина, О.А. Формирование эффективной системы внутрифирменного планирования. – М.: ИНФРА-М, 2019. – 171 с.15. Завгородний, В. И. Информация и экономическая безопасность предприятия / ЗавгороднийВ.И. - М.: Синергия, 2015. - 612 c.16. Калининой, А. Комплексный экономический анализ предприятия. Краткий курс / Под редакцией Н. Войтоловского, Калининой.А. - Москва: Мир, 2016. - 256 c.17. Ковалев, В.В.Курс финансового менеджмента: Учеб. – 2-е изд., перераб. и доп. – М.: Проспект, 2010. – 480 с.18. Ковалев В. В., Ковалев Вит. В. Финансы предприятий: Учеб. – М.: ТК Велби, 2007. – 352 с.19. Ковалев В.В.Курс финансового менеджмента: Учеб. – 2-е изд., перераб. и доп. – М.: Проспект, 2010. – 480 с.