Современные информационные
технологии/4.Информационная безопасность
Магистр
Ястребкова А.А.
Национальный
горный университет, Украина
ПОВЫШЕНИЕ УРОВНЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЧАСТНОГО ОХРАННОГО ПРЕДПРИЯТИЯ
На сегодняшний день успешная деятельность любой
организации, как государственной, так и частной, не возможна без использования
информационной среды и информационных технологий. Это приводит к новым
проблемам, с которыми сталкиваются предприятия наряду со своей деятельностью, и
которые требуют решения вопросов связанных с появлением рисков для информации с
ограниченным доступом.
Целью обеспечения информационной безопасности является
достижение, контроль и усовершенствование защиты информационного пространства
предприятий с использованием новейших технологий по уменьшению воздействий
угроз.
Разработка методов и способов анализа, оценки и
оптимизации системы информационной безопасности на предприятиях является
актуальным заданием.
Многие предприятия не способны обеспечить надлежащую
защиту ценной информации из-за недостатка на это средств и ресурсов. Поэтому
возникает проблема обеспечения соответствующей защиты информационного
пространства предприятия приближаясь к максимальному уровню защищенности с
минимальными затратами: временными, физическими, финансовыми.
Деятельность частного охранного предприятия
регламентируется нормативными документами, которые действуют на территории той
страны, на которой предоставляются услуги организации. Предприятие, за время
своей деятельности, скапливает достаточное количество информации, которая
требует соответствующего уровня защиты. Чтобы данный уровень обеспечить,
необходимо выполнять соответствующие рекомендационные требования.
Существует ряд методик, законов, международных стандартов
и других нормативных документов, которые непосредственно направлены на
обеспечение системы информационной безопасности, а так же использование
информационных технологий.
Наиболее значимыми нормативными документами,
определяющими требования к механизмам защиты и критерии оценки защищенности, а
так же рекомендующие действия по защите информации, являются:
1.
ISO/IEC 17799
«Управление информационной безопасностью»;
2.
ISO/IEC 15408
«Информационные технологии. Методы защиты. Критерии оценки информационной
безопасности»;
3.
НД ТЗИ
1.4-001-2000 «Положение про службу защиты информации в автоматизированной
системе».
Если в целом рассматривать существующие средства и
способы защиты, то можно прийти к выводу, что данные методы занимают
существенно много времени и денежных затрат на проведение анализа, разработку
системы защиты, ее испытание, внедрение и эксплуатацию.
Частично поставленную перед нами проблему можно решить с
помощью рекомендаций по повышению уровня информационной безопасности.
Данные рекомендации должны соответствовать всем
требованиям нормативных документов регламентирующих вопросы в сфере защиты
информации, в особенности составляющих законодательную базу страны, на
территории которой представлена деятельность частной охранной организации.
Обеспечение информационной безопасности можно достигнуть
реализацией комплекса необходимых мер, которые будут поддерживаться работниками
предприятия, в соответствии с положениями внутренних документов по обеспечению защиты
информации.
Если на предприятии не существует отдельной службы защиты
информации, или других отдельных подразделений отвечающих за управление
информационной безопасности, и на привлечение новых людей недостаточно средств,
то для решения данной проблемы необходимо своими собственными силами
максимально защитить информационную среду, не нанимая специальные службы,
которые специализируются в данной сфере. То есть, назначить из уже работающих
сотрудников ответственных за защиту информации, обозначив при этом их новые полномочия
в должностных обязанностях, что позволит существенно снизить материальные
расходы на проведение необходимых мероприятий по обеспечению безопасности
предприятия.
Назначенные лица должны иметь навыки работы в данной
сфере.
После назначения, должно быть проанализировано
соответствующими должностными лицами, все существующие методы и средства защиты
информационной среды, включая и организационное обеспечение безопасности.
Должны быть определены возможные угрозы и риски, которые они вызывают, реализации
которых могут привести к плохому функционированию деятельности предприятия.
После этого должны быть выработаны возможные рекомендационные методы защиты
информации (программные, технические и организационные), которые позволят
достигнуть максимальной защищенности для информации с ограниченным доступом,
минимизируя при этом затраты на материальные и физические ресурсы.
Следующим этапом должны быть разработаны соответствующие
внутренние документы, которые будут регламентировать работу по защите
информации (информация должна защищаться как в электронном виде, в особенности
при ее передаче, так и в бумажном). Данные документы должны соответствовать
требованиям нормативных документов, и утверждены, в обязательном порядке,
руководством предприятия для выполнения.
Далее, все нововведения должны быть донесены до
сотрудников организации. Обязательно должен проводиться контроль за выполнение
требований внутренних распоряжений по защите информации. Так же должны быть
прописаны мероприятия, которые могут возникнуть в случае невыполнения
требований или их нарушения (то есть, необходимо создать специальный документ,
в котором будет указано ответственность за нарушение требований по защите
информации).
С целью повышения уровня квалификации сотрудников в
отрасли информационной безопасности должны проводиться регулярные обучающие
занятия и тренинги по защите информации, управлению информационной безопасности
и действиям в случае непредвиденных ситуаций. А также необходимо направлять на
конференции, тренинги, семинары, проводимые вне организации, по информационной
безопасности всех ведущих сотрудников, которые будут задействованы в данной
сфере на предприятии.
Данные рекомендации ориентированы на использование при
построении методики оптимальной системы информационной безопасности предприятия.
Они позволяют оценить уровень первоначального состояния информационной
безопасности предприятия, разработать рекомендации по повышению данного уровня
защищенности, снизить потенциальные затраты, а также порекомендовать методы
защиты информации от неправомерного использования, копирования, искажения и
несанкционированного доступа к ней.
Внедрение данных методических рекомендаций позволит
существенно повысить уровень информационной безопасности частного охранного
предприятия, при этом способствует значительному снижению затрат организации на
проведение мероприятий по защите информации.