Анализ компонентов информационной безопасности
Секция: Технические науки
XXVI Студенческая международная научно-практическая конференция «Технические и математические науки. Студенческий научный форум»
Анализ компонентов информационной безопасности
Эффективность работы любого предприятия, организации или коммерческой фирмы, а также его конкурентоспособность на рынке во многом зависит от того, насколько защищены его информационные ресурсы. Защита информационных ресурсов обеспечивается путем разработки, внедрения и реализации системы мер информационной безопасности, которая представляет собой комплекс мероприятий, призванных предотвратить утечку цифровых данных путем использования технических средств, а также несанкционированный доступ к конфиденциальной информации, хранящейся на электронных и бумажных носителях.
Коммерческую информацию, связанную с работой предприятия и нуждающуюся в защите можно разделить на три основные группы:
- цифровые данные;
- бумажная документация;
- устная информация.
В соответствии с этим можно определить и объекты защиты, к которым относятся:
- основные и вспомогательные технические системы;
- архивы;
- специальные помещения[3].
Спецификой объекта охраны определяется выбор средств информационной защиты. В целях защиты всех перечисленных групп информации разрабатываются специальные организационные меры, представляющие собой свод правил и нормативных актов, направленных на предотвращение несанкционированного доступа к информации, а также контроль за их неукоснительным соблюдением.
Организационные меры безопасности должны включать следующие компоненты:
- правила, регламентирующие доступ к цифровым информационным ресурсам;
- правила, запрещающие использование съемных цифровых носителей;
- правила профессиональной коммуникации;
- регламент доступа к бумажной документации;
- анализ возможных рисков и угроз[2].
Анализ рисков и угроз информационной безопасности является ключевым компонентом разработки системы ее защиты. Аналитическая работа включает определение угроз безопасности, их классификацию, расчет вероятности возникновения, модель возможного злоумышленника и его неправомерных действий.
Конечной целью реализации мер информационной безопасности служит минимизация рисков утечки конфиденциальной коммерческой информации. По сути, обеспечение информационной безопасности представляет собой процесс управления рисками, включающий следующие этапы:
- определение объектов защиты;
- расчет стоимости информационных активов, подлежащих защите;
- расчет возможных рисков утечки информации;
- расчет возможного ущерба;
- разработка системы мер по минимизации рисков;
- выбор средств по реализации мер защиты[2].
В практическом плане процесс управления рисками информационной безопасности означает снижение угроз до минимально допустимого уровня, поскольку сведение рисков к нулю в реальной жизни невозможно. Иными словами, обеспечение информационной безопасности направлено на минимизацию потерь в случае возникновения угроз. Поэтому, защита информационных систем строится на том, что наиболее тщательно охраняются ключевые информационные ресурсы, в случае утраты которых предприятию может быть нанесен наибольший ущерб.
Проводить защиту компонентов информационных систем необходимо на всех уровнях функционирования предприятия – от регламентации деятельности технического персонала до определения полномочий руководящих структурных подразделений. Кроме того, необходимо предусмотреть возможность внешних форс-мажорных обстоятельств, таких как пожар, стихийное бедствие, затопление и т.п., а также преднамеренных противоправных действий. Поскольку существует огромное множество возможных целенаправленных или случайных действий, несущих потенциальную угрозу информационной безопасности бизнес-структуры, необходимо предусмотреть все вероятные варианты развития событий.
Для предотвращения возникновения угроз информационной безопасности применяют следующий комплекс организационных и технических мероприятий:
- разработка и внедрение внутреннего регламента работы с информационными ресурсами;
- регламентация использования аппаратных и программных средств;
- использование программных средств защиты;
- использование специального оборудования;
- использование индивидуальных кодов доступа к информации;
- постоянный контроль за соблюдением мер информационной безопасности[1].
Меры по обеспечению информационной безопасности можно разделить на несколько групп, различающихся по содержанию и форме организации: нормативно-правовые, организационные, физико-технические, технологические, этические. Рассмотрим каждую из групп.
Нормативно-правовые меры включают законодательные акты, технические регламенты и предписания, а также другие нормативные документы, содержащие общеправовые и конкретные технические инструкции и правила обращения с конфиденциальной коммерческой информацией. Помимо нормативных указаний эти документы определяют меру ответственности сотрудников в случае нарушения правил информационной безопасности, повлекших негативные последствия.
Организационные меры представляют собой внутренние регламенты предприятия, организацию охраны, системы пропусков, ограничение доступа к конфиденциальной информации, инструктаж и контроль.
Физико-технические меры обеспечения информационной безопасности подразумевают, в первую очередь, физическое ограничение доступа к электронным носителям информации и в помещения, служащие хранилищами бумажных архивов.
Технологические меры включают установку специального программного обеспечения, запрет на использование съемных электронных носителей, использование видео- и аудиозаписей (например, в помещениях для деловых переговоров), использование индивидуальных кодов доступа, электронных пропусков и т.д. Кроме того, технологические меры информационной безопасности подразумевают использование специальных программных и аппаратных средств, призванных предотвратить технические ошибки сотрудников при работе с конфиденциальной информацией: дублирование сообщений, инициализация операций без подтвержденного согласования, ошибки в реквизитах платежей и т.п. Технологические меры предполагают двойную перепроверку важных операций во избежание ошибок или преднамеренных неправомерных действий.
Этические меры включают разработку корпоративного кодекса, описывающего этические нормы сотрудника компании и общечеловеческие принципы достойного поведения. К этическим мерам можно также отнести методы поддержания здорового климата и доброжелательной атмосферы в коллективе.
Таким образом, можно заключить, что в арсенале служб информационной безопасности имеется достаточное количество способов организации эффективной защиты информационных систем.
Анализ рисков и угроз утечки или несанкционированного доступа к конфиденциальной информации позволит реализовать ее защиту максимально эффективно, снизив риски до допустимого уровня и, тем самым, минимизировав возможный ущерб.
Требования информационной безопасности должны учитываться на всех этапах функционирования предприятия, начиная с момента его проектирования. Системный подход к организации информационной безопасности, предполагающий комплексное применение разнообразных способов защиты, позволит добиться наилучших результатов и обеспечит успешное и безопасное функционирование предприятия[1].
Эффективность информационной системы (ИС) в значительной степени зависит от уровня ее безопасности. Опыт эксплуатации ИС показывает, что уровень безопасности и защищенности таких систем не всегда отвечает современным требованиям, поэтому весьма актуальна проблема разработки методов, позволяющих обеспечить необходимые уровни характеристик защищенности и безопасности ИС.
Проанализировав вышесказанную информацию можно отметить, что защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом причин, основными из которых являются: массовое распространение средств электронной вычислительной техники; усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.
Система безопасности должна не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять их полномочия на доступ к данной информации, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации с устранением их последствий.
В настоящее время широкое распространение получили методы несанкционированного добывания информации. Их целью является, прежде всего – коммерческий интерес. Информация разнохарактерна и имеет различную ценность, а степень ее конфиденциальности зависит от того, кому она принадлежит.
Проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицита возможностей.
Таким образом, приведенные факты делают проблему проектирования эффективной системы защиты информации актуальной на сегодняшний день.