Кузьминов
А.В.
Красноярский государственный аграрный университет, Россия
Аспекты
защиты информации при автоматизации производственных предприятий
Жизнь современного
общества немыслима без современных информационных технологий. Компьютеры
обслуживают банковские системы, контролируют работу атомных реакторов,
распределяют энергию, следят за расписанием поездов, управляют самолетами,
космическими кораблями. Компьютерные сети и телекоммуникации предопределяют надежность
и мощность систем обороны и безопасности страны. Компьютеры обеспечивают
хранение информации, ее обработку и предоставление потребителям, реализуя таким
образом информационные технологии.
Однако
именно высокая степень автоматизации порождает риск снижения безопасности
(личной, информационной, государственной, и т. п.). Доступность и широкое распространение
информационных технологий, ЭВМ делает их чрезвычайно уязвимыми по отношению к
деструктивным воздействиям.
Сегодня все больше руководителей задумывается об автоматизации своего производства или бизнеса. Но вместе с улучшением конкурентных преимуществ, увеличением мощности производства, повышением рентабельности предприятия, автоматизация несет и необходимость повышенной защиты электронной информации. Целью статьи является выделение ключевых аспектов в вопросе защиты информации.
В результате нарушения информационной безопасности предприятию может грозить:
- утрата данных;
- разглашение конфиденциальной информации;
- отказ информационных систем, что исключает возможность работать с клиентами;
- рост накладных расходов.
Вне зависимости от сферы деятельности предприятия первые три проблемы могут привести к потери бизнеса. Рассмотрим подробнее перечисленные угрозы, а также причины их возникновения и способы предотвращения.
Утрата данных. Такая проблема возникает,
во-первых, из-за повреждений носителей информации (жестких дисков,
компакт-дисков и т. п.), во-вторых, из-за вирусов, попавших в компьютер или
сеть. Еще одна причина утери данных — атаки хакеров.
Предотвращению таких ситуаций могут способствовать следующие меры:
- организация резервного хранилища с резервной инфраструктурой. Конечно, такой способ защиты весьма затратен, но очень эффективен.
- оценить важность и защищенность всей имеющейся на предприятии информации;
- проводить резервное копирование файлов, содержащих особо важную информацию);
- установить антивирусные пакеты, постоянно обновлять антивирусные базы;
- обеспечить защиту информации от различного рода злоумышленников и хакеров при помощи специализированных аппаратных и программных средств.
Информацию, утратившую актуальность, целесообразно помещать в архив. Сохранность архивных материалов также следует периодически проверять.
Снижения
затрат на резервное копирование можно добиться, запретив хранение
бизнес-информации на локальных компьютерах. Для тех, кто пользуется ноутбуками
и мобильными телефонами, важно настроить синхронизацию данных с серверами. И по
сути получится, что резервное копирование данных будет осуществляться на
серверах. Технология подключения к Интернету при помощи— тоже потенциальная
угроза предприятию. Любое такое подключение может привести к хакерской атаке с
последующей потерей данных или утечкой информации. Чтобы этого избежать,
необходимо разработать правила использования Интернет.
Подходы к безопасности в России и на Западе традиционно различаются. Если в России предпочитают инвестировать в обеспечение безопасности, то на Западе — страховать риски. Иными словами, в России склонны покупать сервер для резервного копирования, а в США — страховать работающий сервер от утраты данных. Однако оптимальное решение находится где-то посередине. Если невозможно обеспечить стопроцентную информационную безопасность, имеет смысл инвестировать средства в развитие инфраструктуры безопасности, а часть рисков — застраховать.
Разглашение конфиденциальной информации сотрудниками компании – еще дна серьезная проблема. Бывает, что сотрудники передают третьим лицам (как правило, конкурентам) имеющуюся на предприятии важную информацию: сведения об объемах продаж, клиентскую базу и т. д. Разглашение конфиденциальной информации возможно и в пределах компании (например, размеры вознаграждений, зарплат, планов реструктуризации и т.п. Для исключения таких случаев лучше всего ограничить доступ к информации. Сотруднику будут доступны лишь данные, необходимые для работы. Например, менеджер по продажам сможет работать со сведениями только о своих клиентах. Подобная организация работы персонала в случае разглашения информации позволит быстро определить источник утечки и минимизировать потери.
Чтобы защитить наиболее важную информацию, можно применять такой метод, как шифрование данных. В этом случае посторонние, даже получив доступ к конфиденциальной информации, не смогут с ней ознакомиться.
Использование внешних носителей
информации (дискеты, перезаписываемые CD, флеш-карты) часто приводит к
разглашению конфиденциальной информации.
Ограничение дисководов и портов для подсоединения внешних носителей может также
способствовать повышению уровня защиты. В этом случае работник вынужден обратиться
в IT-службу с просьбой переслать тот или иной материал. Нельзя сказать, что данная
система идеальна и гарантирует защиту от утечки информации, но, так как любое
действие инженер IT-службы
фиксирует, всегда можно узнать, кто и когда скопировал информацию.
В то же время необходимо понимать,
что тотальный запрет на копирование информации принесет только вред бизнесу.
Эти меры повлекут за собой демотивацию сотрудников. Поэтому важно найти золотую
середину. Существует ряд специальных программ, которые могут не только
разрешать или запрещать копировать данные на внешние носители, но и полностью
протоколировать действия пользователя с внешними устройствами. Также эти
программные средства позволяют контролировать подключение любых внешних устройств
к компьютеру. Немаловажно
уделять внимание паролям: их нужно менять с определенной периодичностью.
Иногда бывает целесообразно введение
уровней доступа к той или иной информации. К примеру, все внутренние документы
маркируются уровнем доступа от 0 до 5. Уровень «0» означает, что документ
доступен только внутреннему кругу, в который входят руководители компании и
ключевые специалисты, а уровень «5» говорит о том, что документ предназначен
для публикации, то есть доступен всем.
Отказ информационных систем. Нарушение работы информационных систем может быть вызвано следующими причинами:
- отказ оборудования или программного обеспечения;
- выход из строя сетей передачи данных;
- поражение информационных систем вирусными программами.
Такую проблему поможет решить установка на предприятии дополнительного оборудования, дублирующего основное, а также внедрение резервных информационных систем, способных автоматически вступать в действие при остановке основных систем.
Необходимо понять, какие системы должны быть доступны постоянно, для каких приемлем определенный срок восстановления (два или шесть часов, следующий день и т. д.). Исходя из этой информации, нужно определить потребность в резервном оборудовании. Очень важно, чтобы процедуры периодически отрабатывались на практике с IT-персоналом. Делать это следует в нерабочие часы компании. Подобные мероприятия позволят, не тратя лишних денег, четко и быстро восстанавливать работоспособность и минимизировать время простоя.
Рост накладных расходов. Часто связан с использованием Интернета, других электронных средств связи, в личных целях. Можно установить лимит на использование средств связи и увеличивать его только в случае обоснования сотрудником этой потребности. Кроме того, следует проводить периодические проверки (аудит) использования средств связи.
Итак, для защиты информации, которой владеет предприятие, необходимо определить круг необходимых мероприятий. Их можно разделить на разовые и периодические.
Разовые мероприятия включают покупку и установку антивирусных программ, оборудования для резервного копирования, средств шифрования данных для первых лиц компании, программ для фиксации доступа к информации. Кроме того, надо выделить в IT-департаменте сотрудника или подразделение, которые будут отвечать за работоспособность систем и гарантированное устранение сбоев в сроки, позволяющие минимизировать потери для бизнеса. Для разных по важности систем сроки и приоритеты устранения неполадок различаются.
Периодические мероприятия. Аудит информационной безопасности сторонней компанией. Такую проверку лучше делать не реже одного раза в год. Проверка резервного копирования и способности системы восстанавливаться при сбоях. Следует отключить на предприятии основные серверы и оценить, смогут ли сотрудники эффективно работать, используя резервное оборудование и информационные системы. По результатам необходимо составить список проблем, которые должны быть устранены до следующей проверки. Мероприятие стоит проводить не реже одного раза в квартал. Учебные мероприятия с участием сотрудников IT-подразделения, а также других работников, имеющих доступ к информации.
На крупных предприятиях вопросы безопасности желательно выносить за рамки IT-службы. Таким образом, IT-служба будет не стратегическим партнером бизнеса по безопасности, а исполнителем. В свою очередь служба, занимающаяся безопасностью на предприятии, станет стратегическим и контролирующим партнером.
На небольших предприятиях разумно прибегать к услугам сторонних организаций, которые не зависят от внутренних интересов и могут профессионально построить эффективную систему информационной безопасности предприятия. Лучше всего делить ответственность между компаниями, реализующими информационную безопасность, и теми, кто проводит аудит.
Человеческий фактор играет важную роль в системе мероприятий по защите информации. Необходимо не просто подобрать квалифицированный персонал, но и создать стимулы для его эффективной работы. Самый правильный путь — разработать четкие критерии премирования IT-специалистов, увязанные с эффективностью работы информационных систем и удовлетворенностью сотрудников других подразделений работой IT-персонала.
Главную роль в системе защиты информации играют не машины, а люди. При найме на работу необходимо сообщать сотрудникам о том, что данные, с которыми им придется работать, — собственность компании и их утечка повлечет за собой наказание виновника вплоть до увольнения. Если подчиненный намерен уволиться по собственному желанию, важно сделать все возможное, чтобы информация не ушла вместе с ним. Здесь могут помочь административные меры. В частности, кроме трудового договора необходимо заключить с сотрудниками соглашение о неразглашении конфиденциальной информации. Этот документ подписывает каждый работник предприятия.
Защита информации — это частный случай управления рисками. Для ее организации необходимо:
1. Рассмотреть события, связанные с утратой или хищением информации.
2. Оценить потери в деньгах.
3. Оценить вероятность возникновения событий в течение рассматриваемого периода (обычно год или более).
Перемножив показатели пунктов 2 и 3, мы получаем цену риска «до» (то есть до проведения мероприятий по защите информации). Мероприятия по защите информации снижают вероятность того или иного события, и мы получаем отдачу на проект. Ее рассчитывают по формуле:
О = (Вдо — Впосле) * П,
где
Вдо — вероятность «до», Впосле — вероятность «после», П —
потери, О — отдача на проект.
Если стоимость проекта выше
отдачи, то реализовывать его не стоит (иногда можно просто застраховаться).
Сделав расчеты, нужно выбирать первоочередные проекты — проекты с наибольшей
отдачей.
В
заключение хочется отметить, что процесс обеспечения безопасности — не разовое
мероприятие. Только при систематической работе можно быть уверенным в том, что
важная информация, которой владеет предприятие, находится под надежной защитой.
Литература: