CC BY
88
Секция «Методы и средства зашиты информации»
УДК 004.056
Е. Ю. Золотарева Научный руководитель - В. В. Золотарев Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
МОДЕЛИРОВАНИЕ И ПРОГНОЗИРОВАНИЕ РЕЗУЛЬТАТОВ ПРОЕКТНЫХ ГРУПП В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Рассмотрены некоторые результаты проектного обучения в области информационной безопасности в СибГАУ.
В исследовании оценивалась эффективность обучения информационной безопасности. Некоторые направления такого обучения обладают количественными показателями, которые удобно использовать для управления и оценки эффективности научной деятельности студентов. Были выбраны два основных индикатора - количество публикаций на репрезентативной внутренней конференции («Решетневские чтения» за 2009-2013 гг., индикатор 1) и количество программ для ЭВМ, имеющих государственную регистрацию в Роспатенте (2009-2013 гг., индикатор 2).
Выявлялась связь между количеством программ и публикаций, выполненных в рамках проектов с участием студентов, по отношению к общему количеству публикаций и программ, выпущенных в исследуемый период (см. таблицу). Приведены новые данные по контрольной точке в конце 2013 г., исследования продолжаются.
Очевидно, что представленная информация может быть использована для оценки эффекта проектного обучения и возможных исследований в этом направлении.
Индикаторы
Контрольная Индикатор 1 Индикатор 2 Оценка связи Примечания
точка
01.12.09 6 1 Нет связи. Инд. 1 - 0/6 Инд. 2 - 0/1 Начало эксперимента
01.12.10 11 4 Слабая связь. Инд. 1 - 3/11 Инд. 2 - 2/4 Первые результаты эксперимента
01.12.11 12 8 Сильная связь. Инд. 1 - 8/12 Инд. 2 - 7/8 Первое применение результатов для стартапов
01.12.12 19 6 Сильная связь. Инд. 1 - 8/19 Инд. 2 - 6/6 Завершение текущей фазы эксперимента
01.12.13 12 7 Сильная связь. Инд. 1 - 12/16 Инд. 2 - 7/8 Начало новой фазы эксперимента
© Золотарева Е. Ю., 2014
УДК 004.056
Г. И. Золотарева Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
ФАКТОРЫ РИСКА И УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В СИСТЕМЕ БУХГАЛТЕРСКОГО УЧЕТА
Рассматриваются вопросы определения факторов риска и угроз безопасности информации при автоматизированной обработке информации системе бухгалтерского учета, выделены наиболее актуальные угрозы безопасности.
В соответствии с Доктриной информационной безопасности Российской Федерации [1] системы бухгалтерского учета хозяйствующих субъектов независимо от формы собственности наиболее подвержены воздействию угроз информационной безопасности вследствие наличия вероятности разглашения информации, содержащей коммерческую тайну. Наиболее опасны противоправное копирование информации и ее искажение вследствие преднамеренных или случайных нарушений технологии работы с информаци-
ей (в том числе, персональных данных), несанкционированного доступа к ней.
По результатам исследований, проведённых в России компанией InfoWath: кража информации составляет 64 % от общего количества угроз; вредоносное ПО - 60 %; хакерские атаки - 48 %; спам - 45 %; халатность сотрудников - 43 %; аппаратные и программные сбои - 21 %; кража оборудования - 6 %; финансовое мошенничество - 5 %. Из приведенных данных видно, что наиболее распространены кража
Актуальные проблемы авиации и космонавтики - 2014. Информационные технологии
информации и ущерб, наносимый вредоносным ПО, среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования [2].
Следует отметить, что в отличие от России, зарубежные исследователи чаще отмечают угрозы ИБ внешним информационным ресурсам, представляющим их компанию: внесение злоумышленниками изменений непосредственно в отчетность, размещенную на сайте компании и последующее ее распространение в Интернете; создание фальшивых сайтов компаний и размещение на них сфальсифицированной бухгалтерской информации; составление недостоверных аналитических обзоров и их распространение в Интернете и др. Все это связано с разной концепцией бухгалтерского учета и использованием учетных данных в России и за рубежом.
В процессе проведенного исследования были выделены следующие факторы риска нарушений установленных требований по защите информации при ее обработке в системе бухгалтерского учета:
1. Большой объем разнообразной информации, включая персональные данные.
2. Ценность практически всей информации, циркулирующей в системе бухгалтерского учета.
3. Существенный перечень лиц, имеющих доступ к защищаемой информации.
4. Наличие случаев использования несертифици-рованных технических средств и программного обеспечения.
5. Выполнение работ (действий), не предусмотренных процедурой обработки учетных данных.
6. Отсутствие разграничений прав пользователя, паролей, контролируемой зоны.
7. Недостатки организационного обеспечения защиты информации, в том числе: отсутствие специалиста по защите информации, отсутствие программно-аппаратных средств защиты, несоблюдении требований по защите информации.
8. Ошибки обслуживающего персонала.
Наиболее вероятными источниками для нанесения
ущерба в большинстве организаций является ее собственный персонал. Наиболее часто встречаются прямое нецелевое использование активов организации либо нерегламентированная деятельность для получения контроля над ними.
При работе возможны также неумышленные действия собственных работников, которые создают либо
уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает. При этом нарушитель будет стремиться к сокрытию следов своей деятельности. Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации [3, п. 5].
Данные выводы были приняты во внимание при определении наиболее актуальных угроз информационной безопасности для системы бухгалтерского учета:
- нарушение работы автоматизированной системы обработки данных;
- несанкционированное использование активов организации;
- непреднамеренные ошибки при обработке данных;
- преднамеренные действия, направленные на несанкционированное использование неучтенных ПО и (или) игнорирование организационных ограничений (установленных правил) при работе с ресурсами АС-ЗИ, включая СЗИ;
- преднамеренные действия, направленные на умышленное причинение ущерба, либо несанкционированное использование (получение, изменение, уничтожение) информации.
Определение и детализация данных угроз, поиск возможных уязвимостей конкретной информационной системы бухгалтерского учета позволяют скорректировать защиту информации и привести ее в соответствие с установленными требованиями.
Библиографические ссылки
1. Доктрина информационной безопасности Российской Федерации : утв. Президентом РФ 09.09.2000 № Пр-1895.
2. Угрозы безопасности информации [Электронный ресурс]. URL: http://dehack.ru/ugrozi/ (дата обращения: 13.04.2014).
3. СТО БР ИББС-1.2-2010. Стандарт Банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (утв. Распоряжением Банка России от 21.06.2010 № Р-705) [Электронный ресурс]. URL: http://www.consultant.ru (дата обращения: 13.04.2014).
© Золотарева Г. И., 2014
