X Международная студенческая научная конференция Студенческий научный форум - 2018

В последнее время у рядового гражданина все чаще на слуху всплывают такие слова как «вирус», «хакер» или, например, «кибершпионаж». Еще недавно мы с интересом следили за новостями и сюжетами по телевидению об обвинениях США в адрес России, во вмешательстве нашей страны в президентские выборы американцев. Тогда кто-то гордился нашими, якобы, достижениями, а многие недоумевали, мол, что это у вас за специалисты такие, которые не могут уследить за серверами в офисах собственной партии.

Определим, каковы масштабы развития информационных технологий. Статистика показывает (таблица 1), что число организаций, использующих в своей работе Интернет с 2003 по 2015 год, выросло с 43,4 до 90 % [1].

Таблица 1 - Статистика использования сети интернет по субъектам РФ за 2015 год.

Северо-Западный федеральный округ		92,4 %
Уральский федеральный округ		89,1 %
Дальневосточный федеральный округ		87,7 %
Центральный федеральный округ		90,8 %
Сибирский федеральный округ		85,7 %
Приволжский федеральный округ		87,2 %
Северо-Кавказский федеральный округ		89 %
Российская Федерация	88,1%
Южный федеральный округ	82,5%
Крымский федеральный округ	93,6 %

Применение информационных технологий в различных сферах жизни по-настоящему велико. В связи с этим, крайне важно организовать высокий уровень защиты информации в организациях.

Для удержания высокой конкуренции современным фирмам и организациям необходимо обеспечить хорошую защиту информации, которая может затрагивать их деятельности, от всевозможных посягательств разного рода со стороны злоумышленников, которые хотят ее похитить, как-либо изменить, использовать в своих целях, или вовсе уничтожить. Именно по этой причине одной из самых важных составляющих в функционировании предприятия можно назвать работу по обеспечению безопасности информационной сферы.

Как правило, чаще всего такими злоумышленниками являются коррупционеры, конкуренты, главная цель которых - это ознакомление с информацией или сведениями, которые находятся под охраной, а также их изменение или уничтожение для причинения ущерба репутации или материальному положению[4].

Основные интересы злоумышленников:

разного рода коммерческая информация;

конфиденциальные данные.

Если происходит утечка подобных данных, это может привести к большим убыткам, увольнению некоторых неугодных злоумышленникам людей или, вовсе, в некоторых случаях, к уничтожению всей компании.

Угрозы информационной безопасности для организации делятся на внутренние и внешние:

внутренние - отсутствие контроля электронной почты; использование сотовых телефонов для съемки; взлом данных корпоративной сети; проникновение непосредственно в само помещение; запись информации на различные носители; вирусы.

внешние - это угроза, исходящая из сети Интернет (такая как хакерская атака); удалённая записывание конфиденциальных разговоров; похищение важной информации с кабельных систем.

Нередко угрозы могут иметь непреднамеренный характер, например, разглашение информации в виду незнания основных правил защиты конфиденциальной информации или же частные случаи: один из сотрудников мог случайно удалить важный документ, но сообщил об этом и предпринял действия по его восстановлению. Если же он этого не сделал, а, наоборот, умолчал и сделал это специально, такая угроза относится к преднамеренной. Выявить такие преднамеренные угрозы, предотвратить или устранить их крайне сложно, так как злоумышленники, как правило, очень хорошо подготавливаются и продумывают все свои действия, дабы остаться незамеченными[3].

Угрозы информационной безопасности делятся на 3 фактора (рисунок 1) –вызванные человеческим фактором, взломом и вредоносным ПО, вызванные не антропогенный фактор.

«Человеческий фактор» (антропогенные источники угроз безопасности информации) - выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорит о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.

Вторая группа «Взлом, вредоносное ПО» содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью вышли из под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

Третья группа источников угроз включает факторы неантропогенной природы объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силев законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.

Рисунок 1 - Угрозы информационной безопасности в процентах

Компанией LETA [2] проводила исследование на тему информационной безопасности, которое показало, что в российских компаниях сотрудникам, которые ответственны за информационную безопасность, есть над чем поработать. Опрос среди офисных работников выявил крайне низкий уровень осведомлённости в области ИБ (информационной безопасности), несоблюдение простых правил защиты информации, большой риск проникновения в корпоративную сеть и многое другое.

По статистике предоставленной компанией LETA -

каждый 4-ый пользователь оставляет злоумышленникам возможность проникнуть в корпоративную сеть;

каждый 2 - ой пользователь не знаком с правилами ИБ;

2 из 3 пользователей посещают потенциально опасные сайты с рабочего ПК;

1/3 пользователей хранит пароли в легкодоступном месте;

15% работников компании готовы передать третьим лицам конфиденциальную информацию компании;

более 60% мобильных телефонов не защищены паролем;

каждый 3- й работник постоянно использует один и тот же пароль;

8 из 10 пользователей не уничтожают носители, содержащие корпоративную информацию.

В исследовании LETA, приняли участие более тысячи офисных работников из нескольких сотен российских компаний различных сфер деятельности. В круг рабочих задач опрошенных сотрудников не входят вопросы, связанные с информационной безопасностью.

Для преодоления ключевых угроз информационной безопасности в Российской Федерации принята и реализуется Концепция информационной безопасности, являющаяся составной частью Концепции национальной безопасности Российской Федерации.

Она служит основой для разработки стратегии обеспечения информационной безопасности страны, включающей в себя цели, задачи и комплекс основных мер по ее практической реализации; формирования и проведения государственной политики Российской Федерации в области обеспечения информационной безопасности; подготовки предложений правового, нормативно-методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации; разработки целевых программ защиты информационных ресурсов и средств информатизации.

При формировании политики информационной безопасности необходимо:

проводить мониторинг информационных сетей, а именно локальных сетей и персональных компьютеров персонала, для чего существует множество программ (утилиты), проводящих осмотр сетей и указывающих на найденную угрозу;

разграничить доступа к информации для безопасности предприятия, благодаря чему ни один из представителей персонала не получит доступ ко всей информации фирмы, он сможет просматривать и использовать только ту часть, которая необходима непосредственно для его деятельности;

использовать лицензионные и сертифицированные программные и программно-аппаратные средства. Это сильно уменьшает риск несанкционированного доступа, установление и использование только легального ПО, антивирусов и комплексов программно-аппаратных технологий, направленных на обеспечение информационной безопасности, может помочь в защите конфиденциальной информации.

Однако даже те предприятия, которые хорошо технически защищены и имеют дорогие элементы защиты, программные и аппаратные обеспечения, не застрахованы от воздействия человеческого фактора.

В заключении можно сказать, что успех в области защиты информации обеспечивается не только качественным и лицензионным ПО, но и осведомлённостью рабочих. К сожалению, у работников российских компаний пока нет полноценного осознания важности защиты информации, при всём этом нужно и не забывать о том, что причиной многих ИБ-инцидентов являются именно небрежность или ошибки персонала. Поэтому повышение уровня осведомленности сотрудников в вопросах информационной безопасности является, без преувеличения, одной из самых важных составляющих эффективной программы защиты современной организации, например, людям нужно простым языком объяснить, что пароль "12345" , приклеенный на стикер к уголку монитора, не годится для защиты персональных данных. Дабы улучшить показатели информационной безопасности в нашей стране, необходимо проводить семинары на данную тему, где всем без исключения работникам, от рядового офисного сотрудника до руководителя предприятия объяснят важность защиты информации и дадут базовые знания в области информационной безопасности.

Также на предприятии должна быть построенная политика безопасности, главной целью которой является формирование программы работ в области ИБ и обеспечение ее вы­полнения путем выделения необходимых ресурсов и осуществления регулярного контроля состояния дел. Основой этой программы является многоуровневая по­литика безопасности, отражающая комплексный подход организации к защите сво­их ресурсов и информационных активов.

В должностные инструкции сотрудников необходимо внести требования по соблюдению правил информационной безопасности и проследить за обязательным их выполнением. После внесения изменений в должностные инструкции необходимо провести обучение.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Официальные периодические издания // Федеральной службы государственной статистик. URL: http://www.gks.ru/wps/wcm/connect/rosstat_main/rosstat/ru /statistics /science_and_innovations/it_technology/# (дата обращения: 9.12.2017)

URL: http://safe.cnews.ru/news/line/leta_otsenila_osvedomlennost_sotrudnikov (Дата обращения: 9.12.2017)

Источники угроз информационной безопасности URL: http://инфознание.рф/page/istochniki-ugroz-informacionnoj-bezopasnosti (Дата обращения: 9.12.2017)

Классификация угроз информационной безопасностиURL:https://studfiles.net/preview/6006132/page:2/(Дата обращения: 9.12.2017)

PROBLEMS OF ENSURING INFORMATION SECURITY IN RUSSIA AND ITS REGIONS Institute of Technology (branch) of the federal state budgetary educational institution of higher education "Don State Technical University" Volgodonsk Tuskov MV, student Institute of Technology (Branch) DSTU Volgodonsk, Russia (maks-tuskov@yandex.ru) Semenov VV, Ph.D., Associate Professor Institute of Technology (Branch) DSTU Volgodonsk, Russia (vvsemenov@mail.ru) Abstract: In this article, topical problems of national security of the country and its regions are considered. Information security plays one of the most important roles in ensuring the vital interests of the Russian Federation and its regions. The recent revolution in the field of information technology (the emergence of a global network of the Internet, mobile media and communications) raised this problem to a new level. Information security largely depends on the security of technical structures. In modern society, information and communication technologies are the main factors determining the level of socio-economic development and the state of international information security. Success in the field of information security is provided not only by quality and licensed software, but also by the knowledge of workers. Increasing the level of awareness of employees in matters of information security is, without exaggeration, one of the most important components of an effective protection program for a modern organization. Key words: information security, low level of awareness, confidentiality, information technologies.

Код для цитирования: Скопировать