Безопасность в организации

Основная часть

Мировой прогресс в информационном обеспечении ставит новые задачи не только перед государствами, но и субъектами экономики страны в защите своего информационного пространства от несанкционированного доступа. Усиливается роль служб информационного обеспечения организации, проводятся работы по анализу уязвимости каналов связи. Все эти явления обуславливают актуальность информационной безопасности в организации [1].

Данные необходимо защищать везде – от ресурсов отдельных пользователей до порталов государственного уровня. Кроме непосредственного обеспечения безопасности, нужно предоставлять каждому юзеру качественную и достоверную информацию, а также оказывать правовую поддержку при работе со сведениями. Поэтому главная цель ИБ – сформировать условия, которые обеспечат высококачественную и эффективную защиту важных данных от намеренного либо случайного вмешательства, ведь такое вмешательство способно повредить, удалить, изменить или другим способом воздействовать на конфиденциальные сведения.

Угрозы безопасности разделяют на две категории: внутренние и внешние.

Внутренние. Это угрозы, которые идут изнутри системы. Чаще всего в таких случаях речь идет об утечке данных или об их повреждении. Например, кто-то подкупил сотрудника, и тот похитил данные, составляющие коммерческую тайну. Второй вариант – злоумышленником оказался авторизованный пользователь.

Еще одна внутренняя угроза – риск банальной ошибки, в результате которой конфиденциальные сведения окажутся в открытом доступе или повредятся. Например, в открытом доступе оказалась часть базы данных или пользователь по неосторожности повредил файлы. Такое уже бывало в истории. А нужно, чтобы таких случаев не возникало: клиент не мог бы нарушить работу системы даже случайно, а информация оставалась защищена.

Внешние. Сюда относятся угрозы, которые приходят извне, и они могут быть куда разнообразнее. Это, например, попытка взлома системы через найденную уязвимость: злоумышленник проникает в сеть, чтобы украсть или повредить информацию. Или DDoS-атака, когда на веб-адрес приходит огромное количество запросов с разных адресов, и сервер не выдерживает, а сайт перестает работать.

Сюда же можно отнести деятельность компьютерных вирусов: они способны серьезно навредить работе системы. Действия таких вредоносных программ могут быть очень разнообразными: от рассылки спама от имени взломанного адреса до полной блокировки системы и повреждения файлов.

Еще к внешним угрозам безопасности относятся форс-мажоры и несчастные случаи. Например, хранилище данных оказалось повреждено в результате аварии или пожара. Такие риски тоже нужно предусмотреть [2].

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

Безопасность информации – состояние защищенности данных, при которых обеспечены их доступность, конфиденциальность и целостность.

Информационная безопасность организации должна включать следующие мероприятия:

1. Анализ потенциальных внешних и внутренних угроз.
2. Оценка уязвимости и защиты информации.
3. Создание дорожной карты мер предотвращения угроз.
4. Выполнение задач по ликвидации угроз.

Главная роль обеспечения защиты данных на предприятии – это создать необходимые условия для бесперебойной работы информационной системы и предотвращение возможных атак на нее [1].

Защита информации включает полный комплекс мер по обеспечению целостности и конфиденциальности информации при условии ее доступности для пользователей, имеющих соответствующие права.

Целостность – понятие, определяющее сохранность качества информации и ее свойств.

Конфиденциальность предполагает обеспечение секретности данных и доступа к определенной информации отдельным пользователям.

Доступность – качество информации, определяющее ее быстрое и точное нахождение конкретными пользователями [2].

Безопасность информации на предприятии основывается на пяти принципах:

1. Принцип системности. Защитные меры организации должны быть направлены на предотвращение информационной атаки как со стороны внешних нарушителей, так и со стороны внутренних. При этом необходимо учитывать каналы закрытого доступа, применяемые средства защиты. Применение средств защиты должно совпадать с вероятными видами угроз и функционировать как комплексная система защиты, технически дополняя друг друга. Комплексные методы и средства обеспечения информационной безопасности организации являются сложной системой взаимосвязанных между собой процессов.
2. Принцип многоуровневой защиты направлен на создание рубежей защиты информационной системы, состоящих из последовательно расположенных зон безопасности, главная из которых будет находиться внутри всей системы.
3. Принцип прочности. Правила обеспечения информационной безопасности в организации должны охватывать весь спектр зон безопасности. Все они должны быть иметь одинаковую степень надежной защиты с определением возможной угрозы.
4. Принцип благоразумности представляет собой разумное применение защитных мер с необходимой степенью безопасности. Данный принцип обусловлен целесообразностью огромных материальных затрат и дальнейшей рациональности их использования. Себестоимость мер защиты не должна быть больше размера вероятного ущерба, а также расходы на работоспособность и обслуживание защитной системы.
5. Принцип бесперебойности. Функционирование информационной безопасности должна быть непрерывной и бесперебойной [3, с. 35-38].

С целью минимизации угроз информационной безопасности организации используются следующие методы:

1. Препятствие. Метод представляет собой использование физической силы с целью защиты информации от преступных действий злоумышленников с помощью запрета на доступ к информационным носителям и аппаратуре.

2. Управление доступом – метод, который основан на использовании регулирующих ресурсов автоматизированной системы, предотвращающих доступ к информационным носителям. Управление доступом осуществляется с помощью таких функций, как:

• идентификация личности пользователя, работающего персонала и систем информационных ресурсов такими мерами, как присвоение каждому пользователю и объекту личного идентификатора;
• аутентификация, которая устанавливает принадлежность субъекта или объекта к заявленному им идентификатору;
• проверка соответствия полномочий, которая заключается в установлении точного времени суток, дня недели и ресурсов для проведения запланированных регламентом процедур;
• доступ для проведения работ, установленных регламентом и создание необходимых условий для их проведения;
• регистрация в виде письменного протоколирования обращений к доступу защитных ресурсов;
• реагирование на попытку несанкционированных действий в виде шумовой сигнализации, отключения, отказа в запросе и в задержке работ.

3. Маскировка – метод криптографического закрытия, защищающий доступ к информации в автоматизированной системе.

4. Регламентация – метод информационной защиты, при котором доступ к хранению и передаче данных при несанкционированном запросе сводится к минимуму.

5. Принуждение – это метод, который вынуждает пользователей при доступе к закрытой информации соблюдать определенные правила. Нарушение установленного протокола приводит к штрафным санкциям, административной и уголовной ответственности.

6. Побуждение – метод, который основан на этических и моральных нормах, накладывающих запрет на использование запрещенной информации, и побуждает соблюдать установленные правила [2].

Все перечисленные методы защиты основаны на следующих средствах:

1. Система физической защиты (СФЗ). Применяется в качестве внешнего контроля за месторасположением объекта и защиты информационной системы в виде специальных устройств. Рассмотрим основные элементы СФЗ (табл.).

Таблица

Так, основными элементами СФЗ являются защита в виде автоматизированной системы ограждения, систем видеонаблюдения и система контроля доступа к объектам. Все эти элементы СФЗ должны находиться на постоянном контроле согласно утвержденному порядку в организации.

2. Аппаратные средства защиты представлены электронными и автоматизированными механическим устройствам. Они встроены в блоки автоматизированной информационной системы, представляющие собой самостоятельные устройства, соединенные с данными блоками.

Основная их функция – это обеспечение внутренней защиты соединительных элементов и систем в вычислительной технике – периферийного оборудования, терминалов, линий связи, процессоров и других устройств.

Обеспечение безопасности информации с помощью аппаратных средств включает:

1. Обеспечение запрета неавторизированного доступа удаленных пользователей и АИС (автоматизированная информационная система);
2. Обеспечение надежной защиты файловых систем архивов и баз данных при отключениях или некорректной работе АИС;
3. Обеспечение защиты программ и приложений.

Вышеперечисленные задачи обеспечения безопасности информации обеспечивают аппаратные средства и технологии контроля доступа (идентификация, регистрация, определение полномочий пользователя).

Обеспечение безопасности особо важной информации может осуществляться с использованием уникальных носителей с особыми свойствами, которые предотвращают считывание данных [3, с. 35-38].

Программные средства защиты входят в состав ПО (программного обеспечения), АИС или являются элементами аппаратных систем защиты. Такие средства относятся к наиболее популярным инструментам защиты осуществляют, обеспечивают безопасность информации путем реализации логических и интеллектуальных защитных функций и. Это объясняется их доступной ценой, универсальностью, простотой внедрения и возможностью доработки под конкретную организацию или отдельного пользователя. В то же время, обеспечение безопасности информации с помощью ПО является наиболее уязвимым местом АИС организаций.

Таким образом, используя максимально различные способы защиты, служба информационной безопасности создает такую систему информационной безопасности, которая позволяет сохранить информационные данные, снизить до минимума риски несанкционированного доступа к различному рода сведениям, имеющим важное значение для функционирования организации [3, с. 35-38].

Заключение

Меры по обеспечению информационной безопасности на предприятии должны разрабатываться и реализовываться постоянно, независимо от роли IT-инфраструктуры в производственных процессах.

К решению этого вопроса необходимо подходить комплексно и с привлечением сторонних специалистов. Только такой подход позволит предотвратить утечку данных, а не бороться с ее последствиями.