Библиотека

Розробка системы захисту аутсорссінгової компанії від комп'ютерниї атак

Авторы: Кушнір А.Ю., Губенко Н.Є.

Источник: Матеріали XIII Всеукраїнської (VIII Міжнародної) студентської наукової конференції з прикладної математики та інформатики, СНКПМІ–2010 — Львів, 22–23 квітня 2010.

Сучасне суспільство все більше можна назвати інформаційним, а не індустріальним. Інформація стає більш коштовною, чим матеріальні та енергетичні ресурси. Власна інформація становить для виробника значну цінність, тому що нерідко одержання або створення такої інформації — досить трудомісткий і дорогий процес. Цінність інформації (реальна і потенційна) визначається в першу чергу принесеними нею прибутками.

Аутсорсінгова компанія є виробником інформації. Також вона є гравцем на ринку інформаційних технологій. Найважливішим фактором ринкової економіки виступає конкуренція. перемагає той, хто краще, дешевше й оперативніше робить і продає. В цих умовах основним виступає правило: хто володіє інформацією, той володіє світом.

У конкурентній боротьбі широко поширені різноманітні дії, спрямовані на одержання (добування, придбання) конфіденційної інформації всілякими засобами, аж до прямого промислового шпигунства з використанням сучасних технічних засобів розвідки.

Інформаційна безпека — досить містка й багатогранна проблема, що охоплює не тільки визначення необхідності захисту інформації, але й те, як її захищати, від чого захищати, коли захищати, чим захищати і який повинний бути цей захист.

Для аутсорсингової компанії дуже важливо мати надійну систему захисту. Витоки інформації є ударами по репутації компанії та ведуть за собою відтік клієнтів і зниження прибутків компанії. При розробці системи інформаційного захисту багато уваги приділялося не тільки технічним, але й психологічним аспектам захисту. Був розроблений новий метод оцінки ризиків інформаційної безпеки підприємств.

Метою даної наукової праці є розгляд й аналіз системи інформаційного захисту української аутсорсингової компанії, визначення її уразливих місць і суб'єктів, зацікавлених в інформації, з якої працює компанія, оцінка ризиків для об'єктів захисту та пропозиція мір по поліпшенню інформаційної захищеності системи. Результатом виконання роботи є опис системи захисту від комп'ютерних атак компанії й обґрунтований статистично перелік пропонованих захисних мір.

При розгляді системі інформаційної безпеки компанії були виділені наступні існуючі засоби захисту:
а) заключення зі співробітниками угоди про нерозголошення комерційної таємниці;
б) існування служби інформаційної безпеки;
в) підтримка політики інформаційної безпеки;
г) реалізовані заходи по захисту мережі компанії;
д) використання електронного цифрового підпису, згідно з Законом Європейського Союзу «DIRECTIVE 1999/93/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 1999 on a Community framework for electronic signatures»;
е) реалізовані заходи по захисту інформаційних потоків.

У процесі керування будь-яким напрямком діяльності необхідно виробляти усвідомлені та ефективні рішення, прийняття яких допомагає досягти певних цілей. Автор вважає що, адекватне рішення можна прийняти тільки на підставі фактів й аналізу причинно-наслідкових зв'язків. Звичайно, у ряді випадків рішення приймаються й на інтуїтивному рівні, але якість інтуїтивного рішення дуже сильно залежить від досвіду фахівця, що приймає рішення, і в меншому ступені — від удалого збігу обставин.

Захиститися всюди та від усього, по-перше, не представляється можливим фізично, а по-друге, позбавлено змісту. Існує кілька стратегій поводження підприємства в плані інформаційного захисту.

Будь-яке керування засноване на усвідомленні ситуації, у якій воно відбувається. У термінах аналізу ризиків усвідомлення ситуації виражається в інвентаризації та оцінці активів організації і їхніх оточень, тобто всього того, що забезпечує ведення бізнесу-діяльності. З погляду аналізу ризиків інформаційної безпеки до основних активів відносяться:
а) безпосередньо інформація;
б) інфраструктура;
в) персонал;
г) імідж і репутація компанії.

Для того, щоб оцінти та покращити ступінь інформаційної захищеності компанії був розроблений метод аналізу ризиків. Процес аналізу ризиків включає опис інформаційної системи, знаходження її уразливих місць, виділення суб'єктів, від яких виходять загрози, визначення загроз, визначення збитку при успішній реалізації нападу та сам метод розрахунку значень ризиків.

Перелiк посилань

  1. Методические указания и задания к лабораторным работам по курсу «Информационная безопасность» для студентов специальности «Программное обеспечение АС», часть 1 — «Криптографические и стеганографические методы защиты информации»/ Сост.: Губенко Н.Е., Чернышова А.В. — Донецк, ДонНТУ, 2007 — 89 стр.
  2. Mazzeo M. Digital Signatures and European Laws // Symantec Corporation — Сайт сообщества бизнес-клиентов и партнеров. [Электронный ресурс] / Mazzeo M. — Режим доступа: http://www.symantec.com/connect/articles/digital-signatures-and-european-laws
  3. Конеев И. Р., Беляев А. В. Информационная безопасность предприятия. — СПб.: БХВ-Петербург, 2003. — 752 с.