Современные
информационные технологии/4. Информационная безопасность
Свириденко Н.А.
Национальный Горный Университет, Днепропетровск,Украина
Обоснование необходимости комплексных мер по защите информации на
коммерческих предприятиях
Немало современных частных
предприятий, не смотря на наличие хорошо отлаженного программно-аппаратного
комплекса и метода работы с ним, пренебрегают необходимостью создания
простейшего комплекса средств и мер по обеспечению информационной защиты. На
коммерческих предприятиях, зачастую предпочитают уделять пристальное внимание
системному администрированию и адаптации программных средств для повышения
эффективности ведения бизнеса, однако пренебрегают привлечением специалистов в
области защиты информации, поскольку угрозы коммерческой тайне и
конфиденциальной информации, циркулирующим на объектах информационной
деятельности, кажутся эфемерными и малоосуществимыми. Принцип «это никогда не
случится именно со мной», к сожалению, приводит к печальным последствиям.
Хочется сразу отметить,
что в настоящий момент складывается парадоксальная ситуация. У всех на слуху
находятся брандмауэры, фаерволлы и антивирусные системы. Именно они и
приобретаются в первую очередь в случае появления в бюджете статьи на средства
защиты информации. Но при этом, эти средства уже не удовлетворяют современным
требованиям, предъявляемым к защитным системам. Они не отражают, и даже не
обнаруживают, целый ряд очень опасных атак. Поэтому только этими средствами
нельзя ограничиваться. Они обеспечивают необходимый, но явно недостаточный
уровень защиты корпоративных ресурсов. Дополнить их могут такие средства, как
системы анализа защищенности, системы обнаружения атак, обманные системы, и в
первую очередь введение определённого порядка работы с информацией и доступа к
ней, включающего в себя комплекс административных, правовых, организационных,
инженерно-технических, финансовых, социального-психологических и иных мер,
основывающихся на правовой базе или организационно-распорядительных положениях
руководителя предприятия.
Для того чтобы
проникнуть в тайны компании нет необходимости перелезать через высокие заборы и
обходить периметровые датчики, вторгаться в защищенные толстыми стенами
помещения, вскрывать сейфы и т.п. Достаточно проникнуть в информационную
систему и в течение нескольких секунд или минут перевести сотни тысяч долларов
на чужие счета или вывести из строя какой-либо узел корпоративной сети. Все это
приведет к огромному ущербу. Причем не только к прямому ущербу, который может
выражаться в цифрах со многими нулями, но и к косвенному. Например, выведение
из строя того или иного узла приводит к затратам на восстановление его
работоспособности, которые заключаются в обновлении или замене программного
обеспечения, зарплате обслуживающего персонала. А атака на публичный Web-сервер
компании и замена его содержимого на любое другое может привести к снижению
доверия к фирме и, как следствие, потере части клиентуры и снижению доходов.
При организации защиты коммерческой
тайны руководство предприятия должно исходить, прежде всего, из соображений
экономической целесообразности. Здесь обязательно надо
учитывать два момента:
1)
затраты на обеспечение экономической безопасности должны быть, как правило,
меньшими в сравнении с возможным экономическим ущербом;
2)
планируемые меры безопасности содействуют, как правило, повышению экономической
эффективности предпринимательства.
По сравнению с
физической безопасностью компьютерная безопасность находится еще в
младенчестве. С каждым новым достижением в области информационных технологий
появляются новые аспекты обеспечения информационной безопасности. При этом у
уже существующих решений появляются новые грани, на которые приходится смотреть
под новым углом зрения. Физическая защита - относительно статическая область,
состоящая из систем разграничения доступа, систем сигнализации и, возможно,
оборудования для наблюдения, позволяющих идентифицировать и предотвратить
физическое вторжение в защищаемую область. В свою очередь, компьютерная
безопасность ориентирована не на физический мир, а на киберпространство, где
преступники должны быть определены только при помощи серии нулей и единиц. Все
это приводит к непониманию со стороны руководства в необходимости приобретения
различных средств защиты. И это несмотря на то, что за последний год число
компьютерных преступлений возросло на порядок. И ущерб, нанесенный в результате
несанкционированных компьютерных посягательств, измеряется миллионами долларов.
Решение задачи
обеспечения информационной безопасности должно начинаться с анализа автоматизированной
системы и технологии обработки информации. Данный этап позволит не только
выявить и проанализировать возможные пути реализации угроз безопасности, но
оценить вероятность и ущерб от их реализации. По результатам этого этапа
вырабатываются рекомендации по устранению выявленных угроз, правильному выбору
и применению средств защиты. Наряду с анализом существующей технологии должна
осуществляться разработка организационно-распорядительных документов, дающих
необходимую правовую базу службам безопасности и отделам защиты информации для
проведения всего спектра защитных мероприятий, взаимодействия с внешними
организациями, привлечения к ответственности нарушителей и т.п. К числу таких
документов можно отнести Концепцию информационной безопасности, План защиты,
должностные инструкции, Положение о категорировании ресурсов автоматизированной
системы, изменения в положения об отделах и подразделениях и пр.
Следующим этапом
построения комплексной системы информационной безопасности служит установка и
настройка рекомендованных на предыдущем этапе средств защиты информации. К
таким средствам можно отнести системы защиты информации от несанкционированного
доступа, системы криптографической защиты, межсетевые экраны, средства анализа
защищенности и другие.
Для правильного и
эффективного применения установленных средств защиты необходим
квалифицированный персонал. Однако сложившаяся в Украине ситуация такова, что
пока таких специалистов мало. Выходом из сложившейся ситуации могут быть курсы
повышения квалификации, на которых сотрудники отделов защиты информации и служб
безопасности получат все необходимые практические знания для использования
имеющихся средств защиты, выявления угроз безопасности и их предотвращения.
Однако на этом процесс
обеспечения безопасности не кончается. С течением времени имеющиеся средства
защиты устаревают, выходят новые версии систем обеспечения информационной
безопасности, постоянно расширяется список найденных уязвимостей и атак.
Поэтому специалистам в области защиты информации необходима своевременная и
полная информация о таких событиях.
Центральное
место в организации обеспечения экономической безопасности предприятия занимает
выбор структуры службы, позволяющей эффективно решать эти вопросы. На предприятиях с незначительным объемом сведений, составляющих
коммерческую тайну, а также товарных и денежных средств,
управление обеспечением режима безопасности может осуществить сам руководитель
или по совместительству назначенный его приказом сотрудник, имеющий
соответствующий опыт работы. Служба безопасности предприятия,
как правило, подчиняется непосредственно руководителю предприятия и создается
его приказом.
Она является структурной единицей предприятия,
непосредственно участвующей в производственно-коммерческой деятельности.
Деятельность службы
безопасности осуществляется во взаимодействии со
структурными подразделениями предприятия.
Политика
информационной безопасности — набор законов, правил и практических рекомендаций
и практического опыта, определяющих управленческие и проектные решения в
области защиты информации. На основе политики информационной безопасности строится
управление, защита и распределение критичной информации в системе. Она должна
охватывать все особенности процесса обработки информации, определяя поведение информационных
системах в различных ситуациях. Ниже перечислен ряд весьма простых действий, которые могут
значительно повысить степень защиты корпоративной сети без больших финансовых
вливаний:
1.
Более тщательный контроль за персоналом, в особенности за самыми
низкооплачиваемыми работниками, например уборщиками и охранниками.
2.
Аккуратная незаметная проверка послужного списка нанимаемого работника, которая
поможет избежать возникновения проблем в будущем.
3.
Ознакомление нанимаемого сотрудника с документами, описывающими политику
компании в области информационной безопасности, и получение от него
соответствующей расписки.
4.
Изменение содержимого всех экранов для входа в систему таким образом, чтобы они
отражали политику компании в области защиты.
5.
Повышение уровня физической защиты.
6.
Блокировка всех дисководов гибких дисков в организациях, в которых установлена
сеть, – это позволит минимизировать риск компьютерных краж и заражения
вирусами.
7.
Признание за сотрудниками определенных прав при работе с компьютерами, например
организация досок объявлений, соблюдение конфиденциальности электронной почты.
Ограничение бюджетных расходов на
информационную безопасность, порой, приводит если не к катастрофическим, то как
минимум к очень значимым затратам, ресурсоёмкость которых исчисляется далеко не
только материальной составляющей. Дело в том, что финансовое вложение создание
комплекса информационной безопасности – это инвестирование, от грамотности
вложения которого зависит и степень защищённости, а как следствие успешности
ведения бизнеса.
Литература:
1. Домарев В. В. «Безопасность информационных
технологий. Методология создания систем защиты» - К.: ООО ТИД ДС ISBN:
966-7992-02-0, 2001. - 688 с.
2. Домарев В.В. Безопасность информационных
технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.
3. Домарев В.В., Скворцов С.О. "Організація
захисту інформації на об'єктах державної та підприємницької діяльності".
4.
А. Лукацкий. Новые подходы к обеспечению
информационной безопасности сети. Компьютер-Пресс. №7, 2000