Почему важна информационная безопасность организации и методы ее обеспечения

На чтение 31 мин. Просмотров 1 Опубликовано

Содержание

Информационная безопасность компании, общественной организации или производственного предприятия – это комплекс мероприятий, направленных на предотвращение несанкционированного доступа к внутренней IT-инфраструктуре, незаконного завладения конфиденциальной информацией и внесения изменений в базы данных. Википедия включает в это понятие любые формы данных, независимо от их материального представления. То есть, в информационную безопасность входит защита от злоумышленников данных в электронной форме и на физических носителях.

Учитывая важность информации в современном мире, защите от утечек конфиденциальной информации в адрес конкурентов необходимо уделять повышенное внимание. Возможный ущерб может быть намного большим, чем стоимость всех материальных активов предприятия.

image

Что такое информационная безопасность организации

Безопасность информационной инфраструктуры компании подразумевает защиту от случайных или умышленных действий, которые могут нанести вред владельцам данных или их пользователям. Действия лиц, несущих ответственность за эту сферу, должны быть направлены на создание защиты, препятствующей утечкам данных, а не борьбу с их последствиями. Но при этом важно сохранять простой доступ к информации тем людям, которые на законных основаниях пользуются базами данных.

image

Ущерб, причиняемый утечкой информации, невозможно спрогнозировать заранее. Он может выражаться в незначительной сумме, но в некоторых случаях приводит к полной неспособности компании заниматься хозяйственной деятельностью.

Проблема сохранности конфиденциальной информации и коммерческой тайны существовала и ранее. Но по мере развития электронных средств обработки и хранения данных повышается вероятность их утечки и незаконного копирования. Если ранее для кражи чертежей нового продукта нужно было физически вынести их с завода, сейчас достаточно получить доступ к серверу через электронные каналы связи или записать их на миниатюрную карту памяти.

В большинстве случаев краже подлежат следующие данные:

Дополнительной сложностью является то, что кража информации может негативно отразиться на компании не сразу после ее совершения, а по прошествии определенного времени. Неважные на первый взгляд данные при их обнародовании могут нанести репутационный вред компании и уменьшить ее рыночную стоимость.

Поэтому при разработке мер по обеспечению информационной безопасности нельзя делить данные на виды. Все, что размещено в IT-инфраструктуре компании и храниться в архивах, не должно выходить за ее пределы.

Сотрудники компании – угроза информационной безопасности

Источником утечки данных с компьютеров компании могут быть легальные пользователи. Они имеют доступ к информации и используют ее не так, как это предусмотрено протоколами безопасности.

Всех легальных пользователей можно разделить на несколько групп:

Удаленный контроль действий сотрудников

Предотвратить утечку информации по причине неосторожных или умышленных действий сотрудников можно с помощью специальной утилиты – Bitcop

Автоматизированная система контроля компьютеров и учета сотрудников отслеживает действия пользователей в корпоративной сети и предоставляет отчеты руководителю подразделения. Она повышает эффективность работы персонала и обеспечивает информационную безопасность.

Виды угроз информационной безопасности предприятия

Существует несколько причин, по которым становится возможным незаконный доступ до конфиденциальной информации злоумышленниками. Среди них особенно опасными являются следующие:

Халатное отношение сотрудников компании к защите цифровых данных.

Виновными могут оказаться не преступники, которые хотят украсть информацию, а рядовые сотрудники. Они совершают эти действия из-за недостатка зданий или невнимательности.

Основные причины нарушения безопасности со стороны сотрудников:

Использование нелицензионных программ

Коммерческие компании часто экономят средства на приобретении ПО и позволяют сотрудникам пользоваться пиратскими версиями офисных приложений и профессиональных программ. Однако при этом возникает опасность внедрения в сеть вирусов и других вредоносных программ.

Кроме того, использование пиратского ПО влечет за собой дополнительные минусы:

Умышленные DDoS атаки на сервера компаний

Distributed-Denial-of-Service подразумевает отправку очень большого количества сетевых запросов от пользователей в сети, зараженных специальной программой. Из-за этого ресурс, на который направлена атака, блокируется по причине перегрузки канала связи. Длительная неработоспособность сервера негативно отражается на лояльности пользователей.

Часто к такому приему прибегают конкуренты потерпевшего, DDoS-атака применяется как средство шантажа и отвлечения специалистов по сетевой безопасности от реальных проблем. Например, отвлечение внимания на такую атаку может служить прикрытием для кражи денежных средств или платежной информации с сервера.

Работа вредоносных программ

Компьютерные вирусы – распространенная угроза безопасности IT-инфраструктуры компании. Ущерб, нанесенный вредоносными программами, исчисляется миллионами долларов. В последние 3-5 лет наблюдается увеличения числа вредоносных программ и атак с их стороны, а также сумм понесенных компаниями потерь.

Дополнительная опасность в том, что помимо компьютеров пользователей и серверов, сейчас заражению подвергаются и другие элементы сетевой инфраструктуры:

Несмотря на меры по защите внутренних сетей от воздействия вирусов, их разработчики придумывают новые пути загрузки кода на компьютеры пользователей. Например, вложения в электронную почту, внедрение в текстовые файлы, пересылка через интернет-мессенджеры.

Наибольший ущерб причиняют вирусы, которые шифруют данные на компьютере пользователя и требуют от него денежного перевода за расшифровку. Примерами таких вредоносных утилит являются WannaCry, Petya.

Действия правоохранительных органов

В ходе расследования уголовных дел и при проведении некоторых видов проверок представители контролирующих и правоохранительных органов могут изымать компьютерную технику и документы, в том числе с конфиденциальной информацией.

Это приводит сразу к двум негативным последствиям:

Законодательством нашей страны не предусмотрен механизм компенсации нанесенного ущерба и упущенной выгоды компаниям, даже если проведенная проверка или расследование уголовного дела не привели к применению санкций или вынесению обвинительного приговора.

Дополнительный минус этого в том, что решение об изъятии могут принимать должностные лица государственного органа, что делает практически невозможным своевременную защиту интересов компании в сфере информационной безопасности.

Принципы формирования системы информационной безопасности

Для максимально эффективной защиты важных для бизнеса данных информационная безопасность компании должна строиться на 5 важных принципах:

  • Комплексность. При разработке мероприятий по защите необходимо предусматривать все возможные пути проникновения и нанесения ущерба, в том числе удаленные и внутренние каналы. Выбор средств защиты должен соответствовать потенциальным угрозам, все они должны работать комплексно, частично перекрывая задачи друг друга. В этом случае злоумышленнику будет сложнее совершить кражу.
  • Многоступенчатость. Информационная безопасность должна представлять собой несколько ступеней защиты, каждый из которых срабатывает последовательно. При этом наиболее надежной ступенью является то, что расположена глубже всего и защищает самую важную информацию.
  • Надежность. Все ступени защиты информации должны быть одинаково надежными и соотносится с возможной угрозой со стороны третьих лиц.
  • Разумность. При внедрении в работу компании стандартов защиты информации необходимо, чтобы они предотвращали возможные угрозы, но не мешали деятельности компании и доступу к данным легальным пользователям. Кроме того, стоимость мероприятий по защите должна быть такой, чтобы работа компании оставалась рентабельной.
  • Постоянство. Средства защиты данных от неправомерного доступа должны работать постоянно независимо от режима работы компании и других факторов.

Средства и методы защиты конфиденциальных данных от кражи и изменения

Разработчики программных и аппаратных средств защиты от несанкционированного доступа к данным оперативно реагируют на вновь возникающие угрозы и предлагают пользователям эффективные решения, которые уже сейчас могут использоваться в практической работе.

Основными группами инструментов для информационной безопасности являются:

  • Физическая защита данных. Для этого на предприятии устанавливаются ограничения на доступ определенных лиц к местам хранения данных или на территорию. Используются дистанционно управляемые СКУД, права доступа определяются радиометками или с помощью других средств идентификации. Например, зайти в помещение с серверами могут только те лица, у которых это право прописано в карточке.
  • Общие средства защиты информации. К ним относятся приложения и утилиты, которые должен использовать каждый пользователь при работе в сети. Например, антивирусные программы, фильтры сообщений электронной почты. К базовым средствам относятся также системы логинов и паролей для доступа во внутреннюю сеть, которые должны периодически меняться во избежание утечки.
  • Противодействие DDoS-атакам. Самостоятельно компания – владелец сервера не может обезопасить свои ресурсы от атак этого типа. Поэтому необходимо использовать внешние утилиты. Они срабатывают, когда система обнаруживает подозрительный трафик или резкое увеличение запросов на доступ. В этом случае активируется специальная программа, которая блокирует посторонний трафик и сохраняет доступ для легальных пользователей. Работа ресурса таким образом не нарушается.
  • Резервирование информации. Это средство защиты направлено не на противодействие незаконному завладению данными, а на ликвидацию последствий постороннего вмешательства. Резервирование предусматривает копирование информации на удаленные хранилища или в «облако». Учитывая низкую стоимость носителей и услуг «облачных» провайдеров, позволить себе многократное резервирование данных может любая компания, для которой важна IT-инфраструктура.
  • План восстановления работы после вмешательства. Это один из последних эшелонов защиты информационной инфраструктуры компании. Каждый владелец корпоративной сети и серверов должен иметь заранее продуманный план действий, направленный на быструю ликвидацию последствий вмешательства и восстановление работы компьютеров с серверами. План вводится в действие в случае, если сеть не может функционировать в стандартном режиме или обнаружено постороннее вмешательство.
  • Передача зашифрованных данных. Обмен конфиденциальной информацией между удаленными пользователями по электронным каналам связи должен проводиться только с использованием утилит, которые поддерживают конечное шифрование у пользователя. Это дает возможность удостовериться в подлинности передаваемых данных и исключить расшифровку третьими лицами, перехватившими сообщение.

Заключение

Меры по обеспечению информационной безопасности на предприятии должны разрабатываться и реализовываться постоянно, независимо от роли IT-инфраструктуры в производственных процессах.

К решению этого вопроса необходимо подходить комплексно и с привлечением сторонних специалистов. Только такой подход позволит предотвратить утечку данных, а не бороться с ее последствиями.

В нынешнем мире банковская информация, ее цена и значение намного возросли. Именно по этой причине к ней и возникает преступный интерес.

Неотъемлемая часть работы любого банковского учреждения – это обеспечение безопасности хранения данных, наличие регулярной смены и проверки паролей. Также контролируется вероятность утечки информации.

Чтобы совершить кражу и взлом банковской системы, злоумышленник совсем не обязательно должен ворваться в банковское учреждение. Осуществление взлома пользователем сети может производиться с помощью своего персонального компьютера. Таким образом, вопрос информационной банковской безопасности стал достаточно острым.

Меры, помогающие обеспечить защиту банковской информации

В банковских информационных системах и базах данных содержится конфиденциальная информация о банковских клиентах, о состоянии их счетов и о том, какие ими проводятся финансовые операции.

То, что информационная безопасность таких данных должна быть превыше всего – факт очевидный. При этом, если быстрый и своевременный обмен и обработка информации отсутствуют – произойдет сбой банковской системы. Поэтому необходимо наличие целой структуры, благодаря которой возможно обеспечение защиты банковской информации и конфиденциальности клиентской базы.

Меры по защите данных такого типа должны осуществляться последовательно:

Сперва оценивается и разрабатывается конфиденциальная информация;Оборудуется объект для осуществления защиты.Контролируется эффективность принятых мер.

Банком может полностью осуществляться его деятельность лишь тогда, когда есть налаженный обмен внутренними данными и присутствует надежная защитная система. Оборудование такой защиты банковских объектов обладает различными формами.

Специалистами в сфере обеспечения информационной банковской безопасности могут создаваться как разновидности локальных систем, так и централизованных защитных программ.

При выборе конкретной защитной формы стоит уточнить следующее: нужно продумать вопрос о всевозможных способах взлома и утечки данных. В случае грамотного и профессионального подхода к обеспечению безопасности работа всех банковских отделений будет слаженной – а, значит, финансовые системы будут функционировать беспрерывно.

Комплекс защитных мер, направленный на предотвращение нарушения конфиденциальности данных обладает следующими конкретными действиями:

Контролируется обмен данных, они строго регламентированы.Банковские сотрудники проходят подготовку и соблюдают все требования безопасностиКаналы и сервера подвергаются строгому учетуАнализируется эффективность.

В каждом направлении есть различные рабочие этапы. Например, при контроле обмена данных, проводится не только обработка скорости передачи информации, – также своевременно уничтожаются остаточные сведения.

Чтобы открыть ООО – необходимо наличие учредителей. Учредитель – любое юридическое лицо, то есть какая-либо фирма, либо же физическое лицо, то есть гражданин.

Решившись на открытие своей фирмы, и составляя бизнес-план, большинство граждан не знают, что именно им необходимо проделать для получения государственной регистрации.

Доступ к банковским данным защищен с помощью идентификационной системы, то есть ее охраняют пароли или электронные ключи. Работа с сотрудниками, пользующимися банковскими данными, включает в себя различные инструктажи и слежку за выполнением нужных регламентов.

Каналы и сервера подлежат строгому учету, также есть меры, направленные на обеспечение технической защиты информации и банковской безопасности – то есть защищаются резервные копии, обеспечивается бесперебойное питание оборудования, обладающего ценной информацией, ограничивается доступ к сейфам.

Чтобы анализировать, насколько эффективны принятые меры, необходимо ведение учета или записи, благодаря которым будет отмечаться работоспособность и действенность используемых средств защиты информации в банковском учреждении.

Принципы информационной безопасности банка

Несмотря на то, что возможностей взломать и забрать информацию всегда много, обеспечение безопасности банковских данных – процедура вполне реальная.

Благодаря наличию современных методов теперь усовершенствована система криптографии, а также реализована такая мера, как электронная цифровая подпись (ЭЦП). Она так называемый аналог и заменяет собственноручную подпись. Также она обладает непосредственной привязкой к электронному ключу, хранящемуся у владельца подписи. У этого ключа две части: открытая и закрытая, а также есть защита – наличие специального кода.

Система безопасности, в общем,  является непрерывным процессом идентификации, анализа и контроля.

Существуют основные принципы, согласно которым обеспечивается информационная безопасность банка:

Проблемы своевременно устанавливаются и обнаруживаютсяМожно спрогнозировать развитиеПредпринятые меры должны быть актуальными и эффективными.

Также стоит отдельно выделить, насколько важна тщательная и регулярная работа с персоналом, так как обеспечение безопасности информации зависит и от того, насколько качественно и аккуратно выполняются требования службы безопасности.

Угрозы информационной безопасности банка

            Человеческий фактор – основная и главная угроза информационной безопасности, напрямую зависящий от человеческих отношений. Утечка информации чаще всего происходит во вине банковского персонала.

Как показывает статистика, примерно 80% правонарушений происходит из-за банковских сотрудников – из-за тех, кто обладает доступом к данным.

            При этом обеспечение внутренней информационной безопасности банка, является крайне необходимой мерой как для того, чтобы защитить конфиденциальность данных от обычной халатности, так и для того, чтобы исключить намеренный взлом баз данных.

            Есть не только внутренний фактор – но и наличие технической угрозы информационной безопасности, как банковских организаций, так и компаний. Технические угрозы – это взломы информационных систем, лицами, не имеющими прямого доступа к системе. Это могут быть криминальные или конкурирующие организации.

Снимают и получают информацию в этом случае с помощью особенной аудио или видео аппаратуры. Современная популярная форма взлома – когда применяются электрические и электромагнитные излучения. Злоумышленники за это время получают конфиденциальную информацию, ЭЦП.

Опасность и угроза для программного обеспечения исходит и от различных вредоносных для носителя информации компьютерных вирусов, программных закладок, способных привести к  разрушению введенных кодов.

Самый известный способ решения подобных компьютерных проблем – установка лицензионных антивирусных программ, успешно справляющихся с данной проблемой.

В защите банковской информации от внутренних и внешних утечек может помочь поможет грамотный специалист в этой области и программное обеспечение, которое будет заниматься отслеживанием и блокировкой передачи информации на съемные носители (например — флешки).

Что необходимо, чтобы успешно автоматизировать склад: четко представлять складские процессы, наличие достаточных исходных данных о продукции, наличие интегрируемой информационной корпоративной системы и подготовленного персонала.

Если на складе не будут работать такие высококвалифицированные специалисты, как: заведующий складом, кладовщики, грузчики и уборщицы, то и эффекта ожидать будет довольно сложно.

Важное защитное направление – своевременное распознавание и ограничение утечек различного вида.

Подводя итоги можно сказать, что поскольку банковские системы очень важны в экономическом смысле – их информационная безопасность обязательно будет обеспечена. Так как информация, находящаяся в базе данных банков – это реальная материальная стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.

Специфика и особенности системы обеспечения безопасности, само собой, индивидуальны для любой банковской организации в отдельности, поэтому комплексное и профессиональное предоставление систем защиты – необходимое условие работы всей банковской системы.

Данная статья является продолжение того пути, который я начал в далёком 2012 году, поступив на специальность, связанную с обеспечением компьютерной безопасности в различных областях. К сожалению, университет так и остался университетом…

Предисловие

Большая часть моей учебной деятельности была так или иначе связана с безопасностью. И именно желание понять то как защитить эту информацию послужило причиной по которой я поступил на свою специальность. Время шло, дисциплины пролетали за дисциплиной, а знания так и оставались где-то в облаках. Я понимал, что настанет время и мне придется заниматься тем на кого я учусь и порой мне становилось стыдно от того какие я знания получаю, вернее “незнания”. Возможно именно тогда и появилось внутри желание получать эти знания так, как я это делаю сейчас.

Я хочу быть если не высококвалифицированным специалистом в своей области, но хотя бы “не падать каждый раз в грязь лицом”, когда речь заходит о моей профессиональной области и я не могу поддерживать в ней разговор, не говоря уже о комплексной защите и понимании того, как следует всё реализовать.

К сожалению, речь здесь не только о безопасности, другие области, которые мне интересны и в которых я не особо силён, здесь также будут затронуты. Я верю, что данный формат должен помочь как мне, так и другим людям, которые когда-нибудь прочтут данные материалы.

Формат данных статей будет предполагать рассмотрение определённых тематик и на каждую из них будет предложено чёткое определение того, что необходимо в них знать и понимать. Не рассчитывайте на большое количество вопросов и ответов в краткий срок. Я делаю это в первую очередь для себя и пока я лично сам не разберусь, не пойму суть и не запомню всего значения данной проблемы, к другой тематике я переходить не стану.

Первые темы будут не самыми интересными, однако, это необходимая база, которую необходимо знать и грамотно изъясняться в профессиональной области. В самом начале статьи будет список вопросов с навигацией и далее по каждому из вопросов будет дан развёрнутый ответ. Количество вопросов в каждой статье может варьироваться и обычно составляет 5-10. Статья может быть разбита на несколько частей, но это зависит от материала, который я буду использовать.

Всё остальное будет раскрываться непосредственно из статьи и если что-то новое будет происходить, то вы это поймете, читая заметки или какой-либо другой материал. На этом всё, пора переходить к вопросам. А их в нашей первой статье аж 8!

Навигация по статье:

  • 1. Место и роль автоматизированных систем в управлении бизнес-процессами
  • 2. Факторы, которые определяют актуальность проблемы защиты автоматизированных систем в современных условиях
  • 3. Причины обострения проблемы обеспечения информационной безопасности
  • 4. Причины по которым проблема обеспечения безопасности автоматизированных систем относится к числу трудноразрешимых
  • 5. Риск информационной безопасности. Составляющие риска
  • 6. Анализ рисков и управление ими. Этапы анализа и управления
  • 7. Требования к методам оценки целесообразности затрат на обеспечение безопасности автоматизированных систем
  • 8. Категории затрат, связанных с безопасностью автоматизированных систем

1. Место и роль автоматизированных систем в управлении бизнес-процессами

Безопасность такое понятие, которое редко затрагивает одного человека и касается только одного человека. Лишь малая часть населения понимает, что это такое и вообще для чего безопасность нужна, а уж как образом она достигается знают наверное единицы (в общем проценте от населения планеты). Мы вспоминаем о безопасности наших данных только тогда как где-нибудь в мире или нашей стране происходит утечка информации, персональных данных, коммерческой или гос. тайны. Вот вам недавний пример, который произошел по непонятно чьей вине, таких примеров вагон и маленькая тележка. Однако, не все данные события освещаются его величеством Интернетом, многие происходят на уровне небольших организаций, которые незамедлительно стараются такие события прикрыть чтобы о них никто не узнал.

Так вот, как упомянулось выше, организация безопасности не направлена на какого-то конкретного человека, она касается целой области не только людей и их данных, но и целых процессов, которые управляют всем бизнесом организации. При этом вся организация управлением безопасности также ложится не на хрупкие плечи человека, а уже на целую систему, которая непосредственно сначала создается, а затем управляется людьми.

Компьютерные технологии лишь дают возможность произвести автоматизацию процессов управления и не более. Это позволяет сэкономить многие ресурсы, а самый главный человеческий ресурс – время. С учётом повышения объема поступающих сведений, необходимо повышать качество и эффективность управления всей системы в целом.

Из-за широкого применения автоматизированных систем в организациях, требования к защите систем, использующихся в управлении бизнес-процессами, многократно увеличиваются, а каждая неполадка может вылиться организации в крупные финансовые потери, и это только в лучшем случае.

Первое, что следует понимать, это то, что любая автоматизированная информационная система (АИС) является частью автоматизированной системы управления (АСУ). Это значит, что в АСУ может быть несколько АИС и каждая из них занимается разными вещами.

Любое действие с информацией, которое приводит к нарушению безопасности (искажение, разглашение, уничтожение и т.д. и т.п.), может нанести как материальный, так и моральный вред многим субъектам, которые имеют отношение к данной информации.

При этом, каждую автоматизированную систему приходится настраивать таким образом, чтобы определенная часть информации была бы легко доступна всем кто в этом нуждается, и в то же время надежна защищена, а действия самой системы не приводили к нарушению безопасности.

2. Факторы, которые определяют актуальность проблемы защиты автоматизированных систем в современных условиях

Порой некоторые моменты моей учёбы проходили настолько скучно, что хотелось просто сбежать с пар. Теперь я понимаю что – нежелание воспринимать некоторую скучную и неинтересную информацию. Так случилось и здесь, есть вопросы, которые наводят скуку и которые не очень и хочется рассказывать, однако, эти вопросы позволяют глубже разобраться в причине того почему всё так происходит. Данные вещи я буду стараться описывать максимально сжато и так как их вижу лично я.

Итак, факторы благодаря которым проблема защиты АС как никогда является актуальной. Их на самом деле очень много, кадждый специалист может найти что-то новое для себя, так и добавить свои взгляды на это. Я же приведу следующий список:

  • Увеличение области использования компьютерной техники. Наверное нет ни одной организации, в которой бы не было ПК, а чем большое количество техники используется в организации, тем больше потребности возникает как у самой организации, так и у людей.
  • Увеличение числа электронных носителей информации, а как следствие, хранение на данных носителях большого количества информации.
  • Повышение доверия со стороны людей к автоматизированным системам управления, что может привести к тому, что эти системы управления могут быть задействованы в критически важных областях, в которых важно именно воздействие человека, а не машины.
  • Развитие многообразных видов угроз, а также возникновение новых способов несанкционированного доступа к информации. В сочетании с большим количеством носителей, данный фактор является особо важным.
  • Повышение уровня образованности и квалифицированности людей, “благодаря” которым и возникают всеразличные угрозы и способы дестабилизирующие автоматизированные системы.

3. Причины обострения проблемы обеспечения информационной безопасности

Исходя их тех факторов, которые я перечислил выше, можно привести некоторые причины, по которым происходит обострение проблемы обеспечения ИБ (в некотором роде они буду повторять сами факторы):

  • Возрастание уровня доверия к АСУ – одна из самых главных причин. Главное заблуждение людей, они думают, что машины могут сделать всё за них и им не придется ни в чём разбираться. К сожалению, такая схема автоматически обречена на провал.
  • Бурное развитие информационно-телекоммуникационных сетей (вот тут вы можете почитать интересную статистику по Интернету в России и в мире).
  • Развитие компьютерной грамотности во всех слоях населения. Первая часть населения развивает и применяет различные виды угроз (это профессионалы в своей деятельности), вторая часть, просто за счёт того, что они “якобы” всё знают, начинают применять свои знания не там где это необходимо, тем самым, открывая лазейки злоумышленникам.
  • Отсутствие нормального законодательно-правового регулирования отношений, возникающих в условиях возникновения “компьютерных преступлений”.

4. Причины по которым проблема обеспечения безопасности автоматизированных систем относится к числу трудноразрешимых

Трудноразрешимость проблемы обеспечения безопасности выражена многими обстоятельствами, где-то случайными, где-то закономерными, но в большинстве случаев она связана с человеческим фактором, вот лишь некоторые из обстоятельств:

  • Непонимание того, что необходимо защищать АС, которой пользуется организация. Организация считает, что их информация никому не нужна, либо, что их система надёжна защищена.
  • Неопределенные риски при использовании новых АС. Связано это с неизвестностью того какие угрозы могут оказывать своё влияние на новую АС.
  • Необходимость использовать комплексный подход в защите АС. В большинстве случае защищается отдельная часть АС, либо применяется только одна из мер по защите АС, что является неправильным подход и влечёт лишь пустые расходы в защите АС.
  • Неравные возможности средств и методов защиты и нападения. При защите АС всегда следует понимать, что в большинстве случае злоумышленник имеет больше возможности в нападении, чем мы в защите.
  • Как следствие из предыдущего пункта, недостаточное количество специалистов компьютерной безопасности, и в целом низким количеством людей, котороые осведомлены в вопросах безопасности информационных технологий.

5. Риск информационной безопасности. Составляющие риска

Все предыдущие выкладки были сделаны для того, чтобы дать чёткое представление о том, что невозможно создать абсолютно непреодолимую систему защиты информации. Это всегда стоит помнить в первую очередь и как специалисту по безопасности каждый раз напоминать своему руководству об этом. Нет единой концепции защиты информации, есть отдельные АС, есть то из чего они состоят, есть возможность использовать продукты, которые помогут снизить вероятность успешной реализации угрозы на отдельные объекты, составляющие данную АС.

Специалисту по безопасности часто приходится оперировать различными понятиями, определениями, поэтому необходимо грамотно представлять что это такое, когда о них заходит речь. Так вот и мы, постепенно будем себя приучать к ним.

Определения

Угроза – потенциально возможное событие, вызванное действием, процессом или явлением, которое может привести к нанесению ущерба чьим-либо интересам.

Риск – оценка опасности определенной угрозы.

Риск оценивает насколько опасна та или иная угроза. Как она это делает – отдельный вопрос. В общем случае, риск выражает вероятностно-стоимостную оценку возможных потерь от конкретной угрозы. Как мы видим риск состоит из двух составляющих:

  • вероятность успешной реализации угрозы – всегда измеряется от (провал) до 1 (успех)
  • стоимость потерь, либо по иному ущерба, от реализации угрозы – выражается вероятнее всего в денежном эквиваленте

Как видно из определения, в формулировке риска участвует всего лишь две составляющие, они же участвуют при расчете суммарной стоимостной оценки информационной безопасности организации. Нетрудно догадаться, что здесь будут участвовать все возможные риски, которые специалист по защите информации примет в расчет. И выражать он будет лишь количественную сторону риска, а он как мы уже убедились состоит еще и из качественной составляющей, выражающейся вероятностью.

Итак, стоимостная составляющая информационной безопасности расчитывается по формуле:

Итак, на картинке выше представлены все возможные категории затрат, которые следует учитывать при построении определенной защиты автоматизированной системы в организации. В настоящий момент расписывать каждый пункт в возможной категории не имеет смысла, так как они могут меняться в зависимости от появления новых угроз, да и при желании по каждой категории можно самому составить необходимые вам списки затрат.

Первая статья наконец завершена! Тяжело и может не особо интересно, но опыт всегда есть опыт, каким бы он ни был. Хочется (лично для себя) больше практической составляющей, но в данном случае таковой будет немного, потому что начинать с практики не имея теоретических знаний неправильно. Надеюсь, что данная статья принесла хоть кому-либо пользу и сподвигла вас на первый толчок в какой-либо области обучения.

⤧  Next postОсновные понятия в области безопасности автоматизированных систем⤧  Previous postBack to 2017

В 

В 

В 

В ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Образовательный процесс касается наименее защищенных от пропаганды членов общества – детей и подростков. Поэтому система информационной безопасности образовательного учреждения должна не только обеспечивать сохранность баз данных и содержащихся в них массивов конфиденциальных сведений, но и гарантировать невозможность доступа в стены школы и института любой пропаганды, как незаконного характера, так и безобидной, но предполагающей воздействие на сознание учащихся в заведениях среднего полного общего и высшего образования.

Понятие

В понятие информационной безопасности образовательного учреждения входит система мер, направленная на защиту информационного пространства и персональных данных от случайного или намеренного проникновения с целью хищения каких-либо данных или внесения изменений в конфигурацию системы. Вторым аспектом понятия станет защита образовательного процесса от любых сведений, носящих характер запрещенной законом пропаганды, или любых видов рекламы.

В составе массивов охраняемой законом информации, находящейся в распоряжении образовательного учреждения, можно выделить три группы:

  • персональные сведения, касающиеся учащихся и преподавателей, оцифрованные архивы;
  • ноу-хау образовательного процесса, носящие характер интеллектуальной собственности и защищенные законом;
  • структурированная учебная информация, обеспечивающая образовательный процесс (библиотеки, базы данных, обучающие программы).

Все эти сведения не только могут стать объектом хищения. Намеренное проникновение в них может нарушить сохранность оцифрованных книг, уничтожить хранилища знаний, внести изменения в код программ, используемых для обучения.

Обязанностями лиц, ответственных за защиту информации, должно стать сохранение данных в целостности и неприкосновенности и обеспечение их:

  • доступности в любое время для любого авторизированного пользователя;
  • защиты от любой утраты или внесения несанкционированных изменений;
  • конфиденциальности, недоступности для третьих лиц.

Угрозы информационной безопасности

Особенностью угроз становится не только возможность хищения сведений или повреждение массивов какими-либо сознательно действующими хакерскими группировками, но и сама деятельность подростков, намеренно, по злому умыслу или ошибочно способных повредить компьютерное оборудование или внести вирус. Выделяются четыре группы объектов, которые могут подвергнуться намеренному или ненамеренному воздействию:

  • компьютерная техника и другие аппаратные средства, которые могут быть повреждены в результате механического воздействия, вирусов, по иным причинам;
  • программы, используемые для обеспечения работоспособности системы или в образовательном процессе, которые могут пострадать от вирусов или хакерских атак;
  • данные, хранимые как на жестких дисках, так и на отдельных носителях;
  • сам персонал, отвечающий за работоспособность IT-систем;
  • дети, подверженные внешнему агрессивному информационному влиянию и способные создать в школе криминальную ситуацию. В последнее время перечень таких ситуаций существенно расширился, что говорит о возможной целенаправленной психологической атаке на сознание детей и подростков.

Угрозы, направленные на повреждение любого из компонентов системы, могут носить как случайный, так и осознанный преднамеренный характер. Среди угроз, не зависящих от намерения персонала, учащихся или третьих лиц, можно назвать:

  • любые аварийные ситуации, например, отключение электроэнергии или затопление;
  • ошибки персонала;
  • сбои в работе программного обеспечения;
  • выход техники из строя;
  • проблемы в работе систем связи.

Все эти угрозы информационной безопасности носят временный характер, предсказуемы и легко устраняются действиями сотрудников и специальных служб.

Намеренные угрозы информационной безопасности носят более опасный характер и в большинстве случаев не могут быть предвидены. Их виновниками могут оказаться учащиеся, служащие, конкуренты, третьи лица с намерением на совершение кибер-преступления. Для подрыва информационной безопасности такое лицо должно иметь высокую квалификацию в отношении принципов работы компьютерных систем и программ. Наибольшей опасности подвергаются компьютерные сети, компоненты которых расположены отдельно друг от друга в пространстве. Нарушение связи между компонентами системы может привести к полному подрыву ее работоспособности. Важной проблемой может стать нарушение авторских прав, намеренное хищение чужих разработок. Компьютерные сети редко подвергаются внешним атакам с целью воздействия на сознание детей, но и это не исключено. И самой серьезной опасностью станет использование школьного оборудования для вовлечения ребенка в криминал и терроризм.

С точки зрения проникновения в периметр информационной безопасности и для совершения хищения информации или создания нарушения в работе систем необходим несанкционированный доступ.

Способы несанкционированного доступа

Можно выделить несколько видов несанкционированного доступа:

  1. Человеческий. Информация может быть похищена путем копирования на временные носители, переправлена по электронной почте. Кроме того, при наличии доступа к серверу изменения в базы данных могут быть внесены вручную.
  2. Программный. Для хищений сведений используются специальные программы, которые обеспечивают копирование паролей, копирование и перехват информации, перенаправление трафика, дешифровку, внесение изменений в работу иных программ.
  3. Аппаратный. Он связан или с использованием специальных технических средств, или с перехватом электромагнитного излучения по различным каналам, включая телефонные.

Меры защиты

Борьба с различными видами атак на информационную безопасность должна вестись на пяти уровнях, причем работа должна носить комплексный характер. Существует ряд методических разработок, которые позволят построить защиту образовательного учреждения на необходимом уровне.

Нормативно-правовой способ защиты информационной безопасности

В России принята «Национальная стратегия действий в интересах детей», определяющая степень угроз и меры защиты их безопасности. Действия по ограничению агрессивного воздействия на сознание ребенка должны стать основными. На втором месте должно оказаться обеспечение безопасности баз данных.

Защита информации опирается на действующие в этой сфере законы, определяющие отдельные ее массивы как подлежащие защите. Они выделяют те сведения, которые должны быть недоступны третьим лицам по разным причинам (конфиденциальная информация, персональные данные, коммерческая, служебная или профессиональная тайна). Порядок защиты персональных данных определяется в том числе федеральным законом «Об информации», Трудовым кодексом. Они и Гражданский кодекс помогают разработать методику для обеспечения защиты сведений, относящихся к коммерческой тайне. Кроме законов необходимо выделить действующие в этой сфере ГОСТы, определяющие порядок защиты данных, и применяемые в этих целях методики и аппаратные средства.

Морально-этические средства обеспечения информационной безопасности

В образовательной сфере большую роль играет система морально-этических ценностей. На ней должна основываться система мер, защищающих подростка от травмирующей, этически некорректной, незаконной информации. В целях защиты от пропаганды необходимо применять нормы закона «О защите прав ребенка», определяющие его права на защиту от сведений, которые могут причинить моральную травму. Необходимо создавать перечни документов, программ и иных источников, которые могут травмировать психику детей, в целях недопущения их проникновения на территорию учебного заведения. Это станет одной из основ информационной безопасности.

Административно-организационные меры

Этот комплекс мер целиком построен на создании внутренних правил и регламентов, определяющих порядок работы с информацией и ее носителями. Это внутренние методики, посвященные информационной безопасности, должностные инструкции, перечни сведений, не подлежащих передаче. Дополнительно должен быть разработан регламент, определяющий порядок взаимодействия с компетентными органами по запросам о предоставлении им тех или иных данных и документов.

Кроме того, эти методики должны определять порядок доступа детей к сети Интернет в компьютерных классах, возможность защиты некоторых ресурсов неоднозначного характера от доступа ребенка, запрет на пользование собственными носителями информации. Должно быть предусмотрено использование системы родительского контроля над ресурсами сети Интернет.

Физические меры

За данную систему мер и ее внедрение должно отвечать руководство образовательного учреждения и сотрудники IT-подразделений. Перекладывать организацию мер физической защиты компьютерной сети и носителей на сотрудников наемных охранных подразделений недопустимо. Среди физических мер должна быть предусмотрена пропускная система защиты в помещения, содержащие носители информации, организация контроля доступа посетителей, установления различных степеней допуска. Кроме того, к мерам физической защиты может быть отнесено обязательное копирование значимой информации на диски компьютеров, не имеющих доступа к сети Интернет. Обязательно не только установление паролей, но и их регулярная замена.

Технические меры

Комплексную систему защиты всего периметра компьютерной сети должны обеспечивать специализированные программные продукты, например, DLP-системы и SIEM-системы, выявляющие все возможные угрозы безопасности и применяющие меры по борьбе с ними. Для тех учебных заведений, бюджет которых не позволяет внедрение профессиональных систем, необходимо использование разрешенных и рекомендуемых программных мер защиты, в частности антивирусов.

Электронная почта, к которой имеют доступ сотрудники и учащиеся, должна быть контролируема. Оптимально также ввести полный запрет на копирование любой информации с жестких дисков компьютеров образовательного учреждения.

Кроме того, должно быть предусмотрено программное обеспечение, ограничивающее доступ ребенка на определенные сайты (контент-фильтры).

Все меры должны применяться в комплексе, при этом необходимо определение одного или нескольких лиц, отвечающих за реализацию всех аспектов информационной безопасности. Желательно привлечение к этой проблеме родителей учеников, в ряде случаев они помогут провести аудит мер безопасности и порекомендовать современные решения. Кроме того, на родителей должны быть возложены обязанности и по ограничению информации, которую ребенок может получить дома. Необходимо просматривать страницы, посещаемые ребенком. На основании анализа его поиска можно вносить изменения в перечень сайтов, доступ к которым ограничен с компьютеров, установленных в учебном заведении.

В 

Волгоградская область, г.Новоаннинский, ул. Рабочая, 106В В  В телефон: (8-84447) 3-43-23В В В 

В В В e-mail:shkola1.nsosch1@yandex.ru
Дата последнего обновления страницы 21.05.2021Сайт создан по технологии «Конструктор сайтов e-Publish» Мы используем cookies для наилучшего представления нашего сайта. Отключить cookies Вы можете в настройках своего браузера.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий

© 2023