Файл: Назначение и структура системы защиты информации коммерческого предприятия (Теоретические основы защиты информации).pdf
Добавлен: 29.06.2023
Просмотров: 59
Скачиваний: 3
Действующая в настоящее время редакция Закона о средствах массовой информации в ряде случаев оставляет возможность прямых нарушений принципов обеспечения информационной безопасности. В частности, отдельные положения главы «Ответственность за нарушение законодательства о средствах массовой информации», касающиеся освобождения от указанной ответственности, создают предпосылки для многократного тиражирования дезинформации практически любого содержания.
Таким образом, на современном этапе деятельности средствах массовой информации в России возникла настоятельная потребность в организации и правовом обеспечении так называемой технологической цензуры. Известно, что в ряде стран определенный опыт использования технологической цензуры накоплен в рамках деятельности ведомств, обеспечивающих функционирование средств связи, по отношению к Интернету[9].
Наряду с проблемой совершенствования законодательства, направленного на повышение ответственности редакций за достоверность публикуемых материалов, одним из направлений решения указанной задачи является разработка механизмов осуществления технологической цензуры. Технически эта задача может быть решена, например, созданием редакционной экспертной системы, которая будет анализировать всю подготовленную для распространения через средства массовой информации информацию (в том числе и Интернет–издания).
Естественно, что информационное общество не может признано таковым, если не будет сформировано единого и максимально широкого информационного пространства. Реальной моделью и реальным оператором этого пути является все та же сеть Интернет. Сеть ликвидировала государственные границы в информационной сфере. В Сети циркулирует огромное количество разнообразной информации, при этом реально обеспечивается свобода ее поиска. Интернет и ему подобные системы – это новая степень свободы для человека, степень информационной свободы. Там каждый может найти то, что ему нужно.
Такая свобода может одновременно радовать и пугать. Несомненно, появляются новые способы самовыражения для людей, которые позволяют формировать и влиять на мнение общества о себе, о каких-либо событиях, явлениях. Но при этом подобная свобода и настораживает, так как в ряде случаев трактуется как вседозволенность при практическом отсутствии наказания. Также стоит помнить, что сеть, в том числе Интернет, является отличным «транспортным средством» для разного рода вредоносных сред.
Осознание значимости информации для жизни человечества на новом качественном уровне в целом и построение коммуникаций, основанных на компьютерных технологиях в частности, сделали актуальным формирование новой стратегии силового противоборства между государствами – стратегии информационных войн.
Системы защиты информации. Защита информации коммерческого предприятия
Согласно Государственному стандарту Р 50922–2006, защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий. Такая деятельность может быть:
- правовой, регулирующей защиту информации путем разработки правовых норм и документов, а так же надзор и контроль над их исполнением;
- технической – путем использования программного обеспечения;
- криптографической – путем преобразования информации;
- физической – посредством организационных мероприятий, препятствующих доступу к конфиденциальной информации[10].
Компании, предоставляющие услуги по обеспечению информационной безопасности могут использовать совокупность способов или выбрать метод, необходимый для осуществления своей деятельности, так как подбор системы безопасности для каждой фирмы является индивидуальным.
Преимуществом комплексной защиты, безусловно, является ее целостность, возможность непрерывного осуществления контроля, разработка наилучшей по эффективности индивидуальной системы безопасности и качественной, быстрой адаптации на предприятии.
В связи со сложностью и различием структур предприятий и организаций, требующих информационной защиты, разработка концепции и предоставление услуг по обеспечению безопасности происходит с учетом всей специфики и особенностей фирмы.
Однако комплексный подход подразумевает под собой пошаговую методологическую работу, которая позволит обеспечить грамотную и профессиональную защиту. Можно выделить несколько основных принципов работы, составляющих основные методы разработки системы информационной безопасности предприятий:
- Проведение анализа и оценка состояния безопасности. Составление плана предполагаемых мероприятий.
- Разработка программного обеспечения, подготовка документации, моделирование системы управления информационной безопасностью
- Реализация политики безопасности, оснащение компании необходимым оборудованием и программным обеспечением, создание целостной организованной структуры службы безопасности, обучение персонала фирмы.
- Осуществление контроля, своевременное обновление программ, эффективное решение поставленных задач, анализ эффективности и объективная оценка работы системы безопасности[11].
Такой продуманный и профессиональный подход по предоставлению и обеспечению информационной безопасности гарантирует пресечение попыток взлома и проникновения к информационным данным, обеспечение непрерывной и бесперебойной работы по обмену данными между филиалами или отдельными подразделениями путем минимизации рисков проникновения любых вредоносных программ, вирусов и несанкционированного повреждения системы.
После оценки информационной безопасности предприятия или банка необходимо внедрение защитных систем и специального технического оборудования.
Согласно опыту компаний, предоставляющих услуги по обеспечению информационной безопасности, основная доля утечки данных происходит по вине сотрудников компании. Обеспечение внутренней безопасности подразумевает:
- обучение и инструктаж сотрудников компании, что, в свою очередь, повышает производительность и эффективность работы;
- применение технических средств и использование специальных программ, позволяющих анализировать и контролировать передачу информации на съемные носители, отслеживать утечки информации путем сетевого или беспроводного соединения, создавать «защитный экран» внутренней корпоративной сети, предотвращая любые несанкционированные проникновения к доступу к конфиденциальной информации[12].
Работа по выявлению и устранению утечек предполагает также создание и применение криптографических средств защиты, то есть корпоративного шифрования данных.
Компании, предоставляющие помощь по обеспечению информационной безопасности используют ряд программ, позволяющих не только безопасно передавать конфиденциальные данные, но и обеспечивают их сохранность и защищенность от нежелательных изменений и кражи на персональном компьютере.
Ведение бизнеса подразумевает оформление, передачу и хранение множества документов, в том числе и бухгалтерской отчетности предприятия. Зачастую клиентская база и производимые расчеты склада являются строго конфиденциальной информацией, уязвимой не только для взлома, но и для постоянного хранения на носителях.
Внедрение средств по идентификации пользователей поможет значительно снизить риски несанкционированного проникновения. Обеспечение безопасности паролей, ЭЦП, использование ключей и специальная система кодов, разработанных компанией, является неотъемлемой частью обеспечения безопасности.
Услуги компании по обеспечению информационной безопасности предприятия во многих случаях представляют собой долгосрочное сотрудничество с компанией–заказчиком.
Необходимость управления и контроля систем, проверка и аудит работы, предоставление своевременной отчетности о возможных нарушениях, решение возникающих проблем – все это делает непрерывную и постоянную работу системы безопасности совершенно необходимой для компании.
Отчет о проделанной работе компании предоставляют в соответствии с требованиями строгой отчетности, ведения журнала записей учета текущих нарушений, выявления потенциальных опасностей и регистрации возможной утечки данных[13].
Современные компании, предоставляющие услуги по обеспечению информационной безопасности, разрабатывают персональные системы контроля, программное обеспечение и шифровальные коды. Все разработки проходят тщательные испытания на предмет утечки или несанкционированного проникновения к доступу данными.
Появление новых вирусов, повреждающих носители информации, и новых систем взлома заставляют непрерывно работать над повышением эффективности защиты, разработкой более совершенных программ шифрования и блокировки утечки.
Применение качественного и высокотехнологичного оборудования, разработка улучшенных систем безопасности, грамотное обучение персонала и организованная система контроля способствуют безопасной работе предприятия с минимальным риском нарушения целостности информации и сохранения ее конфиденциальности. А это, в свою очередь, гарантирует высокую производительность работы фирмы и плодотворное ведение бизнеса.
Глава 2. Назначение и структура систем защиты информации коммерческого предприятия
2.1 Назначение систем защиты информации
Главная цель создания системы защиты информации – ее надежность. Система защиты информации – это организованная совокупность объектов и субъектов защиты информации, используемых методов и средств защиты, а также осуществляемых защитных мероприятий[14].
Но компоненты защиты информации, с одной стороны, являются составной частью системы, с другой – сами организуют систему, осуществляя защитные мероприятия. Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается.
Во–первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно–техническая).
Во–вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие–то объекты защиты, а все они включены или нет – это уже вне пределов системы[15].
Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности.
При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.
В–третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, в любое время и при всех режимах функционирования систем обработки информации.
В то же время комплексность не исключает, а предполагает дифференцированный подход к защите информации в зависимости от состава ее носителей, степени ее конфиденциальности, средств хранения и обработки, форм и условий проявления уязвимости, каналов и методов несанкционированного доступа к информации. Таким образом, значимость комплексного подхода к защите информации состоит в интеграции локальных систем защиты, обеспечении полноты всех составляющих системы защиты и всеохватности защиты информации.
2.2 Структура систем защиты информации
При определении структуры любой сложной системы базовым этапом является формулирование цели и критериев эффективности работы системы.