Информационная безопасность на предприятиях
Рассмотрение способов и уровней обеспечения информационной безопасности предприятия. Знакомство с процедурными мерами, направленными на обеспечение информационной безопасности: управление персоналом, физическая защита, поддержание работоспособности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 20.02.2019 |
Размер файла | 20,9 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
2
Информационная безопасность на предприятиях
В данной статье рассмотрены проблемы обеспечения информационной безопасности на разных уровнях и предложены пути их решения, основные источники угроз информационной безопасности и способы борьбы с ними.
Статья состоит из ведения, двух глав, выводов, источников литературы.
Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д. Задачи систем информационной безопасности предприятия многообразны.
Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе информационной безопасности должны учитываться все актуальные на сегодня компьютерные угрозы и уязвимости.
Проблема защиты информации и обеспечение мер её защиты является актуальной задачей, решение которой достигается путем применения большого комплекса различных мер и вложением крупных денежных средств.
Информационная безопасность имеет дело с двумя видами угроз: внешними и внутренними. И если, в настоящий момент, борьба с внешними угрозами ведётся относительно успешно, то борьба с внутренними угрозами приносит не очень хорошие результаты.
По статистике, 70% всех инцидентов связано именно с внутренними угрозами. Основным и опасным видом внутренней угрозы является утечка информации. Средства защиты от несанкционированного доступа здесь оказывают практически бесполезными, поскольку в качестве основного источника угрозы выступает «инсайдер» - пользователь информационной системы, имеющий вполне легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств для того, чтобы использовать конфиденциальную информацию в своих интересах. Наиболее распространенные каналы утечки относятся к категории неумышленного раскрытия, по причине неосведомленности или недисциплинированности. Это и банальная «болтовня сотрудников», и отсутствие представлений о правилах работы с конфиденциальными документами, и неумение определить какие документы являются конфиденциальными. Умышленный «слив информации», встречается значительно реже, зато в данном случае информация «сливается» целенаправленно и с наиболее опасными последствиями для организации [5].
1 Уровни обеспечения информационной безопасности
Обеспечение информационной безопасности -- очень непростая задача, имеющая
несколько уровней:
законодательный,
административный (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
процедурный (меры безопасности, ориентированные на людей);
программно-технический.
Законодательный уровень
Законодательный уровень включает в себя две группы мер:
меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести главу 28 ("Преступления в сфере компьютерной информации") раздела IX новой редакции Уголовного кодекса. Эта глава охватывает основные угрозы информационным системам, однако обеспечение практической реализуемости соответствующих статей пока остается проблематичным.
Закон "Об информации, информатизации и защите информации" можно причислить к этой же группе. Но, положения этого закона носят общий характер, а основное содержание статей сводится к необходимости использовать исключительно сертифицированные средства.
К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главную роль здесь имеет Федеральное агентство правительственной связи и информации (ФАПСИ) и Государственная техническая комиссия (Гостехкомиссия) при Президенте Российской Федерации.
Проблемы: в числе проблем данного уровня можно выделить две ключевых:
выдвижение правильных законопроектов, основанных на глубоком анализе и полном понимании проблемы;
осуществление контроля за соблюдением действующих законов.[3]
Административный уровень
Административный уровень подразумевает политику безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Проблемы: отсутствие понимания политики информационной безопасности у руководства как таковой. Отсутствие законов, обязывающих её обязательное наличие, отсутствие ведомств, курирующих информационную безопасность и полное отсутствие типовых разработок по ней.
Процедурный уровень
К процедурному уровню относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Проблемы: каждая из вышеперечисленных мер является проблемным местом в данный момент.
Для управления персоналом должны быть изменены должностные инструкции каждого работника, а для этого необходимо разработать квалификационные требования по информационной безопасности. После введение данных инструкций необходимо провести обучение персонала и поддерживать его уровень образованности в этой сфере.
Меры физический защиты теряют свою актуальность каждый год, глобальная миниатюризация и развитие сетевых технологий не стоят на месте, каждый год, а то и чаще изобретаются новые устройства, обнаружение которых иногда является непосильной задачей.
С реагированием на нарушение информационной безопасности тоже не все понятно. Нет четких правил, что нужно делать: заявлять руководству, пытаться остановить самому, обращаться в полицию и т.п. Регламент действий отсутствует.
Восстановительные работы так же под вопросом. Необходимо отрабатывать действия персонала до автоматизма, заранее позаботиться о резервных производственных площадках, переносе информации на них и с них.
Программно-технический уровень
Огромная доля активности в области информационной безопасности приходится на программно-технический уровень. Согласно современным требованиям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:
идентификация и проверка подлинности (аутентификация) пользователей;
управление доступом;
протоколирование и аудит;
криптография;
(межсетевое) экранирование;
обеспечение высокой доступности.
Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:
опираться на общепринятые стандарты;
быть устойчивыми к сетевым угрозам;
учитывать специфику отдельных сервисов.
В соответствии с действующим в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию -- ФАПСИ, межсетевое экранирование является спорной территорией, доступностью не занимается никто.
Проблемы: на сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. В то же время, наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но, в первую очередь, существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств. Поэтому государственная организация не может получить современную информационную систему, защищенную сертифицированными средствами.
Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Но, в силу целого ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия гостайны -- "гостайна по совокупности", необходимость получения лицензии на эксплуатацию криптосредств, ограничения на импорт криптосредств) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений перенесен подход, рассчитанный на госструктуры.[2]
Основные источники информационных угроз
Все угрозы компьютерной безопасности делятся на 3 основных вида:
человеческий фактор;
технический фактор;
стихийный фактор.
Если со стихийным фактор все более-менее понятно, и обеспечить безопасность информации можно, например, разместив её на удаленных серверах либо используя облачные технологии, то защититься от двух других видов более сложная и трудоемкая задача.
Технический фактор - всевозможные сбои оборудования. Электрические, программные, физическое повреждение накопителей и т.п. Основным способом их предотвращения является аккуратное обращение с техникой и создание резервных копий информации. При этом, в абсолютно любой программе есть багги, которые даже могут быть не заметны в течении длительного времени работы с ней. Но при этом информация может как и портиться, так и "утекать" конкурентам. Такое вредительство может быть как непреднамеренным - недочет разработчика, так и намеренным - человеческий фактор.
Человеческий фактор - вред, причиненный человеком. Защититься от него практически не возможно. Сотрудник может случайно удалить нужные данные или испортить их, может намеренно передать/продать их конкурентам. Попытки решить эти проблемы путем жесткого контроля за компьютером пользователя малоэффективны. Настройка межсетевых экранов, блокирование доступа в интернет, блокирование портов, разделение прав доступа к документам и программа, авторизация, обновление программ не дают 100% результата. Информацию можно сфотографировать, распечатать, продиктовать в телефон, развернуть монитор в сторону окна и показать человеку на улице и т.д. и т.п. И даже установление камер в помещении эту проблему не решает. Так как обычно камера снимает в небольшом разрешении и фотографирующее устройство можно очень легко замаскировать так, что на камере его будет не видно.
Решение данной проблемы нельзя ограничивать только техническими методами, в первую очередь, нужно обеспечить психологическое влияние на сотрудников, например стимулировать их высокой заработной платой и хорошими условиями труда, чтобы они были заинтересованы в сохранении места работы, так как основной способ переманивания инсайдеров конкурентами - денежная стимуляция.
Так же, правильным решением будет указание в договоре служебных обязанностей и случаев возмещения при их несоблюдении.[4]
Выводы
информационный безопасность персонал
Какой бы продуманной и надежной не была мера обеспечения информационной безопасности, она не будет действенной, если не будет выполняться в комплексе с другими. Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.
Для оценки уровня защищенности и степени соответствия существующим уровням безопасности проводят аудит - независимую экспертизу отдельных областей функционирования организации.
Внешний аудит - разовое мероприятие, внутренний - непрерывный контроль деятельности на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации.
Выявленные в ходе аудита нарушения и "узкие" места в безопасности подлежат немедленному устранению.[1]
Список использованных источников
информационный безопасность персонал
1.Аудит безопасности информационных систем URL: http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/audit-bezopasnostiinformacionnyh-sistem (Дата обращения: 10.12.2017).
2.Законодательный, административный, процедурный, программно-технический уровни URL: http://unix1.jinr.ru/faq_guide/sec/jet/sec_map/urovni.html (Дата обращения: 10.12.2017).
3.Законодательный уровень информационной безопасности URL:
http://www.intuit.ru/studies/courses/10/10/lecture/302 (Дата обращения: 10.12.2017).
4.Источники угроз информационной безопасности URL: http://инфознание.рф/page/istochniki-ugroz-informacionnoj-bezopasnosti (Дата обращения: 10.12.2017).
5.Эдуард Гордеев, Александр Астахов, «Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации» URL: http://www.globaltrust.ru/shop/osnov.php?idstat=55&idcatstat=13 (Дата обращения: 10.12.2017).
Размещено на Allbest.ru
Подобные документы
Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.
курс лекций [52,7 K], добавлен 17.04.2012Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Понятие информации и информатизации. Современная концепция безопасности и характеристика средств обеспечения информационной безопасности. Особенности обеспечения информационной безопасности в образовательных учреждениях в зависимости от их вида.
дипломная работа [208,6 K], добавлен 26.01.2013Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Исследование системы безопасности предприятия ООО "Информационное партнерство". Организационная структура компании, направления обеспечения информационной безопасности. Используемые средства защиты; методы нейтрализации и устранения основных угроз.
курсовая работа [149,1 K], добавлен 18.08.2014Государственная политика в сфере формирования информационных ресурсов. Выбор комплекса задач информационной безопасности. Система проектируемых программно–аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
курсовая работа [605,0 K], добавлен 23.04.2015