Информационная безопасность. 
Информатика для экономистов

ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ

В результате освоения материалов данной главы студенты должны:

знать

• — содержание и сущность управления информационными рисками и обеспечения информационной безопасности;
• — принципы обеспечения информационной безопасности;

уметь

• — обосновать необходимость перехода от противодействия угрозам безопасности информации к управлению информационными рисками;
• — классифицировать угрозы информационной безопасности;
• — анализировать угрозы информационной безопасности;

владеть

- навыками оперирования основными понятиями информационной безопасности.

Информационная безопасность и управление информационными рисками

Проблема обеспечения безопасного использования информации по мере развития человеческой цивилизации становилась все более значимой. В информационном обществе она является одним из основных факторов, влияющих па развитие информационных технологий.

В современной истории можно выделить три крупных этапа в развитии проблемы информационной безопасности:

• 1) до 1950;х гг.;
• 2) с 1950;х до 1980;х гг.;
• 3) с 1980;х гг. по настоящее время.

На первом этапе доминировала задача сохранения конфиденциальности информации и, если исключить пробле мы передачи информации с помощью технических средств, решалась она н основном за счет организационных мероприятий.

На втором этапе с появлением вычислительных машин остро встала проблема надежности хранения и передачи информации, обеспечения бесперебойного функционирования информационных систем. Осваивались сетевые технологии. Для многих производственных и управленческих процессов существовала возможность возврата к неавтоматизированным методам работы в случае отказа автоматизированных систем.

Современный этап характеризуется следующими особенностями:

• • возрастание роли и значения информации в жизни общества;
• • информатизация всех сфер общества;
• • качественные изменения в информационных технологиях;
• • беспрецедентный рост затрат на информационные технологии и на обеспечение информационной безопасности, с одной стороны, и многократное увеличение ущерба, связанного с нарушением безопасности информационных ресурсов, — с другой (мировые затраты на информационные технологи в 2012 г. прогнозируются в размере порядка 2,7 трлн долл., а годовой ущерб мирового сообщества от информационных рисков уже превысил 1 трлн долл.).

Современное состояние проблемы обеспечения безопасности информации привело к изменению подходов к управлению информационной безопасностью. Это нашло свое отражение и в изменении терминологии. В середине 1990;х гг. вводится понятие «информационный риск». Информационный риск — это возможность наступления негативного случайного события в информационной системе предприятия, в результате которого предприятию наносится ущерб. Сначала под негативным событием понималось событие, приводящее только к снижению уровня безопасности информации. В настоящее время под дефиницией «негативное событие» понимается не только нарушение безопасности информации, но и снижение качества информации до уровня, при котором использование такой информации приводит к ущербу предприятия. Таким образом, обеспечение информационной безопасности осуществляется в рамках управления информационными рисками.

Переход к понятию «информационный риск» позволил:

• • увязывать негативные события в области информационной безопасности с конечными результатами работы предприятия, с влиянием этих событий на основные бизнес-процессы;
• • применять к управлению информационными рисками экономические методы управления;
• • поднять проблему обеспечения информационной безопасности на уровень первых лиц предприятий;
• • привлекать к решению проблем информационной безопасности менеджеров основных бизнес-процессов и всех пользователей информационных систем.

В современной трактовке выражения «обеспечение информационной безопасности» или «защита информации» понимаются как применение специальных методов и средств специалистами отделов информационных технологий, служб охраны и служб информационной безопасности, а также пользователями информационных систем с целью предотвращения негативных событий (реализации угроз) в информационной системе.

При рассмотрении проблем информационной безопасности под информационной системой (ИС) понимается комплекс информационных элементов и связей между ними. В качестве информационных элементов рассматриваются средства хранения, обработки, выдачи и передачи информации любой физической природы, а также связи между ними.

Одним из центральных информационных элементов является человек, имеющий отношение к информационному процессу предприятия. Важным элементом информационной системы является компьютерная система (КС), под которой понимается любое аппаратно-программное средство для ввода, хранения, преобразования и передачи информации. К компьютерным системам относятся как сравнительно простые устройства типа смартфонов и нетбуков, так и сложнейшие системы, например суперкомпьютеры или глобальные компьютерные сети.

К информационным элементам относятся также все информационные ресурсы неавтоматизированных информационных технологий. Удельный вес печатных документов, неоцифрованных фотографий, карт и тому подобных информационных носителей в общем объеме информационных технологий постоянно снижается, но пока еще остается достаточно весомым.