Проблема захисту інформації. Інформація відіграє особливу роль в процесі розвитку цивілізації. Володіння інформаційними ресурсами і раціональне їх використання створюють умови оптимального управління суспільством. І навпаки, спотворення інформації, блокування її отримання, використання недостовірних даних ведуть до помилкових рішень. Одним з головних чинників, що забезпечують ефективність в управлінні різними сферами суспільного життя, є правильне використання інформації різного характеру. Темпи прогресу сьогоднішнього, а тим більше завтрашнього дня в значній мірі залежать від стану справ в області інформаційно-обчислювального обслуговування найважливіших сфер діяльності - науки, техніки, виробництва і управління. Особливо актуальна проблема використання економічної інформації в сфері управління матеріальним виробництвом, де зростання інформаційного потоку знаходиться в квадратичної залежності від промислового потенціалу країни.
У свою чергу швидкий розвиток процесів автоматизації, використання комп'ютерів у всіх сферах сучасного життя, крім безперечних переваг, спричинили появу ряду специфічних проблем. Одна з них - необхідність забезпечення ефективного захисту інформації. Виходячи з цього створення правових норм, що закріплюють права і обов'язки громадян, колективів і держави на інформацію, а також захист цієї інформації стають найважливішим аспектом інформаційної політики держави.
Захист інформації, особливо в економічній сфері, - дуже специфічний і важливий вид діяльності. Досить сказати, що в світі середня величина збитку від однієї банківської крадіжки із застосуванням електронних засобів оцінюється в 9 тис. Долл.Ежегодние втрати від комп'ютерних злочинів у США і Західній Європі досягають 140 млрд. Долл.По думку американських фахівців, зняття систем захисту інформації з комп'ютерних мереж призведе до руйнування 20% середніх підприємств протягом декількох годин, 40% середніх і 16% великих компаній зазнають краху через кілька днів, 33% банків «лопнуть» за 2-5 годин, 50% банків - через 2-3 дні [ 6].
· Збої в роботі мережі (24%);
· Помилки програмного забезпечення (14%);
· Комп'ютерні віруси (12%);
· Несправності в комп'ютерах (11%);
· Розкрадання даних (7%);
· Несанкціоноване впровадження в мережу (4%);
Бурхливий розвиток і поширення комп'ютерних систем та інформаційних мереж, які обслуговують банки та біржі, супроводжується зростанням правопорушень, пов'язаних з крадіжками і неправомочним доступом до даних, що зберігаються в пам'яті комп'ютерів і переданим по лініях зв'язку. Комп'ютерні злочини відбуваються сьогодні у всіх країнах світу і поширені в багатьох областях людської діяльності. Вони характеризуються високою скритністю, складністю збору доказів за встановленими фактами їх здійснення і складністю доведення в суді подібних справ. Правопорушення у сфері комп'ютерної інформації можуть відбуватися у формі [12]:
· Махінацій шляхом комп'ютерного маніпулювання системою обробки даних з метою отримання фінансової вигоди;
· Комп'ютерного шпигунства і крадіжки програмного забезпечення;
· Крадіжки послуг (часу), неправомірного використання систем обробки даних;
· Неправомірного доступу до систем обробки даних і «виламування» їх;
· Традиційних злочинів в сфері бізнесу (економіки), що здійснюються за допомогою систем обробки даних.
Здійснюють комп'ютерні злочини, як правило, висококваліфіковані системні і банківські програмісти, фахівці в області телекомунікаційних систем. Неабияку загрозу інформаційних ресурсів представляють хакери і крекери, проникаючі в комп'ютерні системи і мережі шляхом злому програмного забезпечення захисту. Крекери, крім того, можуть стерти або змінити дані в інформаційному банку відповідно до своїх інтересів. За останні десятиліття в країнах колишнього СРСР з'явилася потужна генерація високопідготовлених потенційних хакерів, які працювали в організаціях і відомствах, які займалися інформаційним піратством на державному рівні для використання отриманої з Заходу інформації у військових і економічних інтересах.
Що ж крадуть хакери? Потенційним об'єктом може служити будь-яка інформація, закладена в ЕОМ, що проходить по обчислювальним мережам або знаходиться на носіях ЕОМ і здатна принести прибуток хакеру або його роботодавцю. До цієї інформації належать практично всі відомості, що становлять комерційну таємницю фірм, починаючи від розробок і «ноу-хау» і закінчуючи платіжними відомостями, за якими легко «вирахувати» оборот фірми, кількість співробітників і т.д. Особливо цінною є інформація по банківським операціям і кредитами, що проводиться по електронній пошті, а також угоди на біржі. Великий інтерес представляють для хакерів програмні продукти, що оцінюються на сучасному ринку в тисячі, а то й в мільйони доларів.
Крекери - «комп'ютерні терористи» - займаються псуванням програм або інформації з допомогою вірусів - спеціальних програм, що забезпечують знищення інформації або збої в роботі системи. Створення «вірусних» програм - справа дуже прибуткова, так як деякі фірми-виробники використовують віруси для захисту своїх програмних продуктів від несанкціонованого копіювання.
Для багатьох фірм отримання інформації за допомогою впровадження до конкурентам хакера-програміста - справа найбільш просте і прибуткове. Впроваджувати суперникам спецтехніку, постійно контролювати їх офіс на випромінювання за допомогою спеціальної апаратури - справа дорога і небезпечна. До того ж фірма-конкурент при виявленні технічних засобів може у відповідь затіяти гру, даючи неправдиву інформацію. Тому свій хакер-пpoграмміст в «стані ворога» - найбільш надійний спосіб боротьби з конкурентами.
Таким чином, зростаюча небезпека комп'ютерної злочинності, перш за все в фінансово-кредитній сфері, визначає важливість забезпечення безпеки автоматизованих інформаційних систем.
Інформаційна безпека підприємства. Звичайно, в наших умовах ступінь автоматизації комерційної діяльності значно поступається західним стандартам, оскільки більшість розрахункових операцій дублюється на папері, а обмін платіжними документами в реальному часі ускладнений через відсутність єдиного механізму міжбанківських комунікацій і відповідних правових норм. З іншого боку, відносна слабкість механізмів захисту і відсутність у нас в країні юридичної відповідальності за комп'ютерні злочини стимулюють зловмисників і сприяють їх безкарності. Слід також врахувати, що в переважній більшості випадків на підприємствах, в банках і фінансових установах експлуатуються однотипні стандартні обчислювальні засоби (IBM сумісні персональні комп'ютери з операційною системою MS DOS, локальні мережі з програмним забезпеченням фірми Novell, програми автоматизації бухгалтерської і банківської діяльності на мовах Clipper . FoxPro або Paradox і т.д.), які добре задокументовані і в деталях відомі професіоналам. Найпростіші механізми захисту таких виробів (якщо вони взагалі використовуються) легко переборні.
Під безпекою автоматизованої інформаційної системи підприємства (АІСП) розуміється її захищеність від випадкового або навмисного втручання в нормальний процес її функціонування, а також від спроб розкрадання, модифікації або руйнування її компонентів [18]. Безпека АІСП досягається забезпеченням конфіденційності оброблюваної нею інформації, а також цілісності та доступності компонентів і ресурсів системи.
Цілісність компонента (ресурсу) системи - властивість компонента (ресурсу) бути незмінним (в семантичному сенсі) при функціонуванні системи.
Систему забезпечення безпеки АІСП можна розбити на наступні підсистеми:
· Безпечне програмне забезпечення;
Комп'ютерна безпека забезпечується комплексом технологічних і адміністративних заходів, що застосовуються у відношенні апаратних засобів комп'ютера з метою забезпечення доступності, цілісності і конфіденційності пов'язаних з ним ресурсів.
Безпечне програмне забезпечення являє собою общецелевого і прикладні програми та засоби, що здійснюють безпечну обробку даних в АІСП і безпечно використовують ресурси системи.
До об'єктів інформаційної безпеки на підприємстві (фірмі) відносять:
· Інформаційні ресурси, що містять відомості, віднесені до комерційної таємниці, та конфіденційну інформацію, представлену у вигляді задокументованих інформаційних масивів і баз даних;
· Засоби і системи інформатизації - засоби обчислювальної та організаційної техніки, мережі та системи, общесистемное і прикладне програмне забезпечення, автоматизовані системи управління підприємствами (офісами), системи зв'язку і передачі даних, технічні засоби збору, реєстрації, передачі, обробки та відображення інформації, а також їх інформативні фізичні поля.
У сучасному світі інформаційні ресурси стали одним з потужних важелів економічного розвитку підприємств (фірм), що грають важливу роль у підприємницькій діяльності. Більш того, відсутність в сфері вітчизняного бізнесу ефективних комп'ютерних та сучасних інформаційних технологій, які є основою функціонування «швидких» економік, істотно гальмує перехід на нові форми господарювання.
Ринкова економіка диктує свої закони: і великому і малому бізнесу необхідно інформаційне забезпечення комерційної діяльності, необхідні як бази даних загальнодоступною комерційної інформації, макроекономічної ситуації і тенденцій розвитку, так і системи для обробки внутрішньофірмової інформації.