Статья:

Анализ компонентов информационной безопасности

Конференция: XXVI Студенческая международная научно-практическая конференция «Технические и математические науки. Студенческий научный форум»

Секция: Технические науки

Выходные данные
Кузьменок А.А. Анализ компонентов информационной безопасности // Технические и математические науки. Студенческий научный форум: электр. сб. ст. по мат. XXVI междунар. студ. науч.-практ. конф. № 3(26). URL: https://nauchforum.ru/archive/SNF_tech/3(26).pdf (дата обращения: 23.11.2024)
Лауреаты определены. Конференция завершена
Эта статья набрала 0 голосов
Мне нравится
Дипломы
лауреатов
Сертификаты
участников
Дипломы
лауреатов
Сертификаты
участников
на печатьскачать .pdfподелиться

Анализ компонентов информационной безопасности

Кузьменок Антон Алексеевич
студент, Рязанский государственный радиотехнический университет, РФ, г. Рязань
Ручкин Владимир Николаевич
научный руководитель, д-р техн. наук, профессор, Рязанский государственный радиотехнический университет, РФ, г. Рязань

 

Эффективность работы любого предприятия, организации или коммерческой фирмы, а также его конкурентоспособность на рынке во многом зависит от того, насколько защищены его информационные ресурсы. Защита информационных ресурсов обеспечивается путем разработки, внедрения и реализации системы мер информационной безопасности, которая представляет собой комплекс мероприятий, призванных предотвратить утечку цифровых данных путем использования технических средств, а также несанкционированный доступ к конфиденциальной информации, хранящейся на электронных и бумажных носителях.

Коммерческую информацию, связанную с работой предприятия и нуждающуюся в защите можно разделить на три основные группы:

  1. цифровые данные;
  2. бумажная документация;
  3. устная информация.

В соответствии с этим можно определить и объекты защиты, к которым относятся:

  1. основные и вспомогательные технические системы;
  2. архивы;
  3. специальные помещения[3].

Спецификой объекта охраны определяется выбор средств информационной защиты. В целях защиты всех перечисленных групп информации разрабатываются специальные организационные меры, представляющие собой свод правил и нормативных актов, направленных на предотвращение несанкционированного доступа к информации, а также контроль за их неукоснительным соблюдением.

Организационные меры безопасности должны включать следующие компоненты:

  1. правила, регламентирующие доступ к цифровым информационным ресурсам;
  2. правила, запрещающие использование съемных цифровых носителей;
  3. правила профессиональной коммуникации;
  4. регламент доступа к бумажной документации;
  5. анализ возможных рисков и угроз[2].

Анализ рисков и угроз информационной безопасности является ключевым компонентом разработки системы ее защиты. Аналитическая работа включает определение угроз безопасности, их классификацию, расчет вероятности возникновения, модель возможного злоумышленника и его неправомерных действий.

Конечной целью реализации мер информационной безопасности служит минимизация рисков утечки конфиденциальной коммерческой информации. По сути, обеспечение информационной безопасности представляет собой процесс управления рисками, включающий следующие этапы:

  1. определение объектов защиты;
  2. расчет стоимости информационных активов, подлежащих защите;
  3. расчет возможных рисков утечки информации;
  4. расчет возможного ущерба;
  5. разработка системы мер по минимизации рисков;
  6. выбор средств по реализации мер защиты[2].

В практическом плане процесс управления рисками информационной безопасности означает снижение угроз до минимально допустимого уровня, поскольку сведение рисков к нулю в реальной жизни невозможно. Иными словами, обеспечение информационной безопасности направлено на минимизацию потерь в случае возникновения угроз. Поэтому, защита информационных систем строится на том, что наиболее тщательно охраняются ключевые информационные ресурсы, в случае утраты которых предприятию может быть нанесен наибольший ущерб. 

Проводить защиту компонентов информационных систем необходимо на всех уровнях функционирования предприятия – от регламентации деятельности технического персонала до определения полномочий руководящих структурных подразделений. Кроме того, необходимо предусмотреть возможность внешних форс-мажорных обстоятельств, таких как пожар, стихийное бедствие, затопление и т.п., а также преднамеренных противоправных действий.  Поскольку существует огромное множество возможных целенаправленных или случайных действий, несущих потенциальную угрозу информационной безопасности бизнес-структуры, необходимо предусмотреть все вероятные варианты развития событий.

Для предотвращения возникновения угроз информационной безопасности применяют следующий комплекс организационных и технических мероприятий:

  1. разработка и внедрение внутреннего регламента работы с информационными ресурсами;
  2. регламентация использования аппаратных и программных средств;
  3. использование программных средств защиты;
  4. использование специального оборудования;
  5. использование индивидуальных кодов доступа к информации;
  6. постоянный контроль за соблюдением мер информационной безопасности[1].

Меры по обеспечению информационной безопасности можно разделить на несколько групп, различающихся по содержанию и форме организации: нормативно-правовые, организационные, физико-технические, технологические, этические. Рассмотрим каждую из групп.

Нормативно-правовые меры включают законодательные акты, технические регламенты и предписания, а также другие нормативные документы, содержащие общеправовые и конкретные технические инструкции и правила обращения с конфиденциальной коммерческой информацией. Помимо нормативных указаний эти документы определяют меру ответственности сотрудников в случае нарушения правил информационной безопасности, повлекших негативные последствия.

Организационные меры представляют собой внутренние регламенты предприятия, организацию охраны, системы пропусков, ограничение доступа к конфиденциальной информации, инструктаж и контроль.

Физико-технические меры обеспечения информационной безопасности подразумевают, в первую очередь, физическое ограничение доступа к электронным носителям информации и в помещения, служащие хранилищами бумажных архивов.

Технологические меры включают установку специального программного обеспечения, запрет на использование съемных электронных носителей, использование видео- и аудиозаписей (например, в помещениях для деловых переговоров), использование индивидуальных кодов доступа, электронных пропусков и т.д. Кроме того, технологические меры информационной безопасности подразумевают использование специальных программных и аппаратных средств, призванных предотвратить технические ошибки сотрудников при работе с конфиденциальной информацией: дублирование сообщений, инициализация операций без подтвержденного согласования, ошибки в реквизитах платежей и т.п. Технологические меры предполагают двойную перепроверку важных операций во избежание ошибок или преднамеренных неправомерных действий.

Этические меры включают разработку корпоративного кодекса, описывающего этические нормы сотрудника компании и общечеловеческие принципы достойного поведения. К этическим мерам можно также отнести методы поддержания здорового климата и доброжелательной атмосферы в коллективе.

Таким образом, можно заключить, что в арсенале служб информационной безопасности имеется достаточное количество способов организации эффективной защиты информационных систем. 

Анализ рисков и угроз утечки или несанкционированного доступа к конфиденциальной информации позволит реализовать ее защиту максимально эффективно, снизив риски до допустимого уровня и, тем самым, минимизировав возможный ущерб.

Требования информационной безопасности должны учитываться на всех этапах функционирования предприятия, начиная с момента его проектирования. Системный подход к организации информационной безопасности, предполагающий комплексное применение разнообразных способов защиты, позволит добиться наилучших результатов и обеспечит успешное и безопасное функционирование предприятия[1].

Эффективность информационной системы (ИС) в значительной степени зависит от уровня ее безопасности. Опыт эксплуатации ИС показывает, что уровень безопасности и защищенности таких систем не всегда отвечает современным требованиям, поэтому весьма актуальна проблема разработки методов, позволяющих обеспечить необходимые уровни характеристик защищенности и безопасности ИС.

Проанализировав вышесказанную информацию можно отметить, что защита информации в современных условиях становится все более слож­ной проблемой, что обусловлено рядом причин, основными из кото­рых являются: массовое распространение средств электронной вычислитель­ной техники; усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанк­ционированных действий над информацией.

Система безопасности должна не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять их полномочия на доступ к данной информации, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации с устранением их последствий.

В настоящее время широкое распространение получили методы несанкционированного добывания информации. Их целью является, прежде всего – коммерческий интерес. Информация разнохарактерна и имеет различную ценность, а степень ее конфиденциальности зависит от того, кому она принадлежит.

Проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицита возможностей.

Таким образом, приведенные факты делают проблему проектирования эффективной системы защиты информации актуальной на сегодняшний день.

 

Список литературы:
1. Нестерук, Ф.Г. Основы организации адаптивных систем защиты информации [Текст]: учебное пособие / Ф.Г. Нестерук, Г.Ф. Нестерук, Л.Г. Осовецкий. – Санкт-Петербург: СПб ГУ ИТМО, 2008. – 109 с.
2. Кузнецов, В.И. Информационная работа [Электронный ресурс] / В.И. Кузнецов. – Режим доступа: http:// www.evartist.ru/text/24.htm.
3. Осовецкий, Л.Г. Меры по обеспечению безопасности и защиты информации для сложных информационных систем [Текст] / Л.Г. Осовецкий, А.В. Суханов, В.В. Ефимов // Системы управления, связи и безопасности. - 2017. - №1. – С. 16-25.