Анализ компонентов информационной безопасности

Эффективность работы любого предприятия, организации или коммерческой фирмы, а также его конкурентоспособность на рынке во многом зависит от того, насколько защищены его информационные ресурсы. Защита информационных ресурсов обеспечивается путем разработки, внедрения и реализации системы мер информационной безопасности, которая представляет собой комплекс мероприятий, призванных предотвратить утечку цифровых данных путем использования технических средств, а также несанкционированный доступ к конфиденциальной информации, хранящейся на электронных и бумажных носителях.

Коммерческую информацию, связанную с работой предприятия и нуждающуюся в защите можно разделить на три основные группы:

1. цифровые данные;
2. бумажная документация;
3. устная информация.

В соответствии с этим можно определить и объекты защиты, к которым относятся:

1. основные и вспомогательные технические системы;
2. архивы;
3. специальные помещения[3].

Спецификой объекта охраны определяется выбор средств информационной защиты. В целях защиты всех перечисленных групп информации разрабатываются специальные организационные меры, представляющие собой свод правил и нормативных актов, направленных на предотвращение несанкционированного доступа к информации, а также контроль за их неукоснительным соблюдением.

Организационные меры безопасности должны включать следующие компоненты:

1. правила, регламентирующие доступ к цифровым информационным ресурсам;
2. правила, запрещающие использование съемных цифровых носителей;
3. правила профессиональной коммуникации;
4. регламент доступа к бумажной документации;
5. анализ возможных рисков и угроз[2].

Анализ рисков и угроз информационной безопасности является ключевым компонентом разработки системы ее защиты. Аналитическая работа включает определение угроз безопасности, их классификацию, расчет вероятности возникновения, модель возможного злоумышленника и его неправомерных действий.

Конечной целью реализации мер информационной безопасности служит минимизация рисков утечки конфиденциальной коммерческой информации. По сути, обеспечение информационной безопасности представляет собой процесс управления рисками, включающий следующие этапы:

1. определение объектов защиты;
2. расчет стоимости информационных активов, подлежащих защите;
3. расчет возможных рисков утечки информации;
4. расчет возможного ущерба;
5. разработка системы мер по минимизации рисков;
6. выбор средств по реализации мер защиты[2].

В практическом плане процесс управления рисками информационной безопасности означает снижение угроз до минимально допустимого уровня, поскольку сведение рисков к нулю в реальной жизни невозможно. Иными словами, обеспечение информационной безопасности направлено на минимизацию потерь в случае возникновения угроз. Поэтому, защита информационных систем строится на том, что наиболее тщательно охраняются ключевые информационные ресурсы, в случае утраты которых предприятию может быть нанесен наибольший ущерб. 

Проводить защиту компонентов информационных систем необходимо на всех уровнях функционирования предприятия – от регламентации деятельности технического персонала до определения полномочий руководящих структурных подразделений. Кроме того, необходимо предусмотреть возможность внешних форс-мажорных обстоятельств, таких как пожар, стихийное бедствие, затопление и т.п., а также преднамеренных противоправных действий.  Поскольку существует огромное множество возможных целенаправленных или случайных действий, несущих потенциальную угрозу информационной безопасности бизнес-структуры, необходимо предусмотреть все вероятные варианты развития событий.

Для предотвращения возникновения угроз информационной безопасности применяют следующий комплекс организационных и технических мероприятий:

1. разработка и внедрение внутреннего регламента работы с информационными ресурсами;
2. регламентация использования аппаратных и программных средств;
3. использование программных средств защиты;
4. использование специального оборудования;
5. использование индивидуальных кодов доступа к информации;
6. постоянный контроль за соблюдением мер информационной безопасности[1].

Меры по обеспечению информационной безопасности можно разделить на несколько групп, различающихся по содержанию и форме организации: нормативно-правовые, организационные, физико-технические, технологические, этические. Рассмотрим каждую из групп.

Нормативно-правовые меры включают законодательные акты, технические регламенты и предписания, а также другие нормативные документы, содержащие общеправовые и конкретные технические инструкции и правила обращения с конфиденциальной коммерческой информацией. Помимо нормативных указаний эти документы определяют меру ответственности сотрудников в случае нарушения правил информационной безопасности, повлекших негативные последствия.

Организационные меры представляют собой внутренние регламенты предприятия, организацию охраны, системы пропусков, ограничение доступа к конфиденциальной информации, инструктаж и контроль.

Физико-технические меры обеспечения информационной безопасности подразумевают, в первую очередь, физическое ограничение доступа к электронным носителям информации и в помещения, служащие хранилищами бумажных архивов.

Технологические меры включают установку специального программного обеспечения, запрет на использование съемных электронных носителей, использование видео- и аудиозаписей (например, в помещениях для деловых переговоров), использование индивидуальных кодов доступа, электронных пропусков и т.д. Кроме того, технологические меры информационной безопасности подразумевают использование специальных программных и аппаратных средств, призванных предотвратить технические ошибки сотрудников при работе с конфиденциальной информацией: дублирование сообщений, инициализация операций без подтвержденного согласования, ошибки в реквизитах платежей и т.п. Технологические меры предполагают двойную перепроверку важных операций во избежание ошибок или преднамеренных неправомерных действий.

Этические меры включают разработку корпоративного кодекса, описывающего этические нормы сотрудника компании и общечеловеческие принципы достойного поведения. К этическим мерам можно также отнести методы поддержания здорового климата и доброжелательной атмосферы в коллективе.

Таким образом, можно заключить, что в арсенале служб информационной безопасности имеется достаточное количество способов организации эффективной защиты информационных систем. 

Анализ рисков и угроз утечки или несанкционированного доступа к конфиденциальной информации позволит реализовать ее защиту максимально эффективно, снизив риски до допустимого уровня и, тем самым, минимизировав возможный ущерб.

Требования информационной безопасности должны учитываться на всех этапах функционирования предприятия, начиная с момента его проектирования. Системный подход к организации информационной безопасности, предполагающий комплексное применение разнообразных способов защиты, позволит добиться наилучших результатов и обеспечит успешное и безопасное функционирование предприятия[1].

Эффективность информационной системы (ИС) в значительной степени зависит от уровня ее безопасности. Опыт эксплуатации ИС показывает, что уровень безопасности и защищенности таких систем не всегда отвечает современным требованиям, поэтому весьма актуальна проблема разработки методов, позволяющих обеспечить необходимые уровни характеристик защищенности и безопасности ИС.

Проанализировав вышесказанную информацию можно отметить, что защита информации в современных условиях становится все более слож­ной проблемой, что обусловлено рядом причин, основными из кото­рых являются: массовое распространение средств электронной вычислитель­ной техники; усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанк­ционированных действий над информацией.

Система безопасности должна не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять их полномочия на доступ к данной информации, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации с устранением их последствий.

В настоящее время широкое распространение получили методы несанкционированного добывания информации. Их целью является, прежде всего – коммерческий интерес. Информация разнохарактерна и имеет различную ценность, а степень ее конфиденциальности зависит от того, кому она принадлежит.

Проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицита возможностей.

Таким образом, приведенные факты делают проблему проектирования эффективной системы защиты информации актуальной на сегодняшний день.