Размещено на http://www.allbest.ru/

2

Информационная безопасность на предприятиях

В данной статье рассмотрены проблемы обеспечения информационной безопасности на разных уровнях и предложены пути их решения, основные источники угроз информационной безопасности и способы борьбы с ними.

Статья состоит из ведения, двух глав, выводов, источников литературы.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д. Задачи систем информационной безопасности предприятия многообразны.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе информационной безопасности должны учитываться все актуальные на сегодня компьютерные угрозы и уязвимости.

Проблема защиты информации и обеспечение мер её защиты является актуальной задачей, решение которой достигается путем применения большого комплекса различных мер и вложением крупных денежных средств.

Информационная безопасность имеет дело с двумя видами угроз: внешними и внутренними. И если, в настоящий момент, борьба с внешними угрозами ведётся относительно успешно, то борьба с внутренними угрозами приносит не очень хорошие результаты.

По статистике, 70% всех инцидентов связано именно с внутренними угрозами. Основным и опасным видом внутренней угрозы является утечка информации. Средства защиты от несанкционированного доступа здесь оказывают практически бесполезными, поскольку в качестве основного источника угрозы выступает «инсайдер» - пользователь информационной системы, имеющий вполне легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств для того, чтобы использовать конфиденциальную информацию в своих интересах. Наиболее распространенные каналы утечки относятся к категории неумышленного раскрытия, по причине неосведомленности или недисциплинированности. Это и банальная «болтовня сотрудников», и отсутствие представлений о правилах работы с конфиденциальными документами, и неумение определить какие документы являются конфиденциальными. Умышленный «слив информации», встречается значительно реже, зато в данном случае информация «сливается» целенаправленно и с наиболее опасными последствиями для организации [5].

1 Уровни обеспечения информационной безопасности

Обеспечение информационной безопасности -- очень непростая задача, имеющая

несколько уровней:

законодательный,

административный (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

процедурный (меры безопасности, ориентированные на людей);

программно-технический.

Законодательный уровень

Законодательный уровень включает в себя две группы мер:

меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;

направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести главу 28 ("Преступления в сфере компьютерной информации") раздела IX новой редакции Уголовного кодекса. Эта глава охватывает основные угрозы информационным системам, однако обеспечение практической реализуемости соответствующих статей пока остается проблематичным.

Закон "Об информации, информатизации и защите информации" можно причислить к этой же группе. Но, положения этого закона носят общий характер, а основное содержание статей сводится к необходимости использовать исключительно сертифицированные средства.

К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главную роль здесь имеет Федеральное агентство правительственной связи и информации (ФАПСИ) и Государственная техническая комиссия (Гостехкомиссия) при Президенте Российской Федерации.

Проблемы: в числе проблем данного уровня можно выделить две ключевых:

выдвижение правильных законопроектов, основанных на глубоком анализе и полном понимании проблемы;

осуществление контроля за соблюдением действующих законов.[3]

Административный уровень

Административный уровень подразумевает политику безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.

Проблемы: отсутствие понимания политики информационной безопасности у руководства как таковой. Отсутствие законов, обязывающих её обязательное наличие, отсутствие ведомств, курирующих информационную безопасность и полное отсутствие типовых разработок по ней.

Процедурный уровень

К процедурному уровню относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности:

управление персоналом;

физическая защита;

поддержание работоспособности;

реагирование на нарушения режима безопасности;

планирование восстановительных работ.

Проблемы: каждая из вышеперечисленных мер является проблемным местом в данный момент.

Для управления персоналом должны быть изменены должностные инструкции каждого работника, а для этого необходимо разработать квалификационные требования по информационной безопасности. После введение данных инструкций необходимо провести обучение персонала и поддерживать его уровень образованности в этой сфере.

Меры физический защиты теряют свою актуальность каждый год, глобальная миниатюризация и развитие сетевых технологий не стоят на месте, каждый год, а то и чаще изобретаются новые устройства, обнаружение которых иногда является непосильной задачей.

С реагированием на нарушение информационной безопасности тоже не все понятно. Нет четких правил, что нужно делать: заявлять руководству, пытаться остановить самому, обращаться в полицию и т.п. Регламент действий отсутствует.

Восстановительные работы так же под вопросом. Необходимо отрабатывать действия персонала до автоматизма, заранее позаботиться о резервных производственных площадках, переносе информации на них и с них.

Программно-технический уровень

Огромная доля активности в области информационной безопасности приходится на программно-технический уровень. Согласно современным требованиям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:

идентификация и проверка подлинности (аутентификация) пользователей;

управление доступом;

протоколирование и аудит;

криптография;

(межсетевое) экранирование;

обеспечение высокой доступности.

Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:

опираться на общепринятые стандарты;

быть устойчивыми к сетевым угрозам;

учитывать специфику отдельных сервисов.

В соответствии с действующим в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию -- ФАПСИ, межсетевое экранирование является спорной территорией, доступностью не занимается никто.

Проблемы: на сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. В то же время, наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но, в первую очередь, существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств. Поэтому государственная организация не может получить современную информационную систему, защищенную сертифицированными средствами.

Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Но, в силу целого ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия гостайны -- "гостайна по совокупности", необходимость получения лицензии на эксплуатацию криптосредств, ограничения на импорт криптосредств) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений перенесен подход, рассчитанный на госструктуры.[2]

Основные источники информационных угроз

Все угрозы компьютерной безопасности делятся на 3 основных вида:

человеческий фактор;

технический фактор;

стихийный фактор.

Если со стихийным фактор все более-менее понятно, и обеспечить безопасность информации можно, например, разместив её на удаленных серверах либо используя облачные технологии, то защититься от двух других видов более сложная и трудоемкая задача.

Технический фактор - всевозможные сбои оборудования. Электрические, программные, физическое повреждение накопителей и т.п. Основным способом их предотвращения является аккуратное обращение с техникой и создание резервных копий информации. При этом, в абсолютно любой программе есть багги, которые даже могут быть не заметны в течении длительного времени работы с ней. Но при этом информация может как и портиться, так и "утекать" конкурентам. Такое вредительство может быть как непреднамеренным - недочет разработчика, так и намеренным - человеческий фактор.

Человеческий фактор - вред, причиненный человеком. Защититься от него практически не возможно. Сотрудник может случайно удалить нужные данные или испортить их, может намеренно передать/продать их конкурентам. Попытки решить эти проблемы путем жесткого контроля за компьютером пользователя малоэффективны. Настройка межсетевых экранов, блокирование доступа в интернет, блокирование портов, разделение прав доступа к документам и программа, авторизация, обновление программ не дают 100% результата. Информацию можно сфотографировать, распечатать, продиктовать в телефон, развернуть монитор в сторону окна и показать человеку на улице и т.д. и т.п. И даже установление камер в помещении эту проблему не решает. Так как обычно камера снимает в небольшом разрешении и фотографирующее устройство можно очень легко замаскировать так, что на камере его будет не видно.

Решение данной проблемы нельзя ограничивать только техническими методами, в первую очередь, нужно обеспечить психологическое влияние на сотрудников, например стимулировать их высокой заработной платой и хорошими условиями труда, чтобы они были заинтересованы в сохранении места работы, так как основной способ переманивания инсайдеров конкурентами - денежная стимуляция.

Так же, правильным решением будет указание в договоре служебных обязанностей и случаев возмещения при их несоблюдении.[4]

Выводы

информационный безопасность персонал

Какой бы продуманной и надежной не была мера обеспечения информационной безопасности, она не будет действенной, если не будет выполняться в комплексе с другими. Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.

Для оценки уровня защищенности и степени соответствия существующим уровням безопасности проводят аудит - независимую экспертизу отдельных областей функционирования организации.

Внешний аудит - разовое мероприятие, внутренний - непрерывный контроль деятельности на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации.

Выявленные в ходе аудита нарушения и "узкие" места в безопасности подлежат немедленному устранению.[1]

Список использованных источников

информационный безопасность персонал

1.Аудит безопасности информационных систем URL: http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/audit-bezopasnostiinformacionnyh-sistem (Дата обращения: 10.12.2017).

2.Законодательный, административный, процедурный, программно-технический уровни URL: http://unix1.jinr.ru/faq_guide/sec/jet/sec_map/urovni.html (Дата обращения: 10.12.2017).

3.Законодательный уровень информационной безопасности URL:

http://www.intuit.ru/studies/courses/10/10/lecture/302 (Дата обращения: 10.12.2017).

4.Источники угроз информационной безопасности URL: http://инфознание.рф/page/istochniki-ugroz-informacionnoj-bezopasnosti (Дата обращения: 10.12.2017).

5.Эдуард Гордеев, Александр Астахов, «Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации» URL: http://www.globaltrust.ru/shop/osnov.php?idstat=55&idcatstat=13 (Дата обращения: 10.12.2017).

Размещено на Allbest.ru