Библиографическое описание:

Рахимова Г. А. Информационная безопасность для бизнес-организаций // Молодой ученый. — 2016. — №9. — С. 77-79.



В статье рассмотрены методы решения, виды угроз, способы защиты и оптимизации безопасности. Особое внимание уделено методу комплексной информационной защиты.

Ключевые слова: безопасность, информационная атака, методы защиты, сертификация услуг.

Рассмотрение информационной безопасности как защиты информации — это комплексная задача, которая направлена на обеспечение безопасности и реализуется путем внедрения системы безопасности и контроля. Вопрос по поводу защиты информации является многогранным и комплексным и охватывает ряд важнейших задач. Деятельность в области информационной безопасности постоянно осложняется процессами внедрения во все сферы общества технических средств обработки и передачи информации и, прежде всего, вычислительных систем.

Следует также обратить внимание на виды угроз информационной безопасности. Под угрозой информационной безопасности следует понимать возможность реализации воздействия на информацию, обрабатываемую в автоматизированной системе, приводящую к уничтожению, искажению, блокированию доступа к информации, копированию, а также несанкционированную возможность воздействия на компоненты автоматизированной системы, приводящую к уничтожению, утрате или сбою функционирования носителей информации, средства взаимодействия с носителем или средства управления носителем информации.

Сразу же возникает вопрос и об обеспечении информационной безопасности. Способы защиты информации — это комплекс определенных средств и приемов, которые обеспечивают целостность, конфиденциальность, доступность и полноту информации, а также противодействие внешним и внутренним угрозам. Каждый вид угроз обладает своими специфическими способами и средствами.

Проблемы информационной безопасности для разных форм организации в целом едины, так как любая сфера организации нацелена на сохранение целостности своей бизнес-среды, а, следовательно, и целостности всех информационных потоков, происходящих в ней.

Целью деятельности по обеспечению информационной безопасности организации является уменьшение угроз информационной безопасности до оптимального для компании уровня. Основные задачи деятельности по обеспечению информационной безопасности компании:

− выявление уязвимостей объектов защиты и потенциальных угроз информационной безопасности;

− предотвращение инцидентов информационной безопасности;

− минимизация либо исключение выявленных угроз.

При разработке мероприятий, направленных на обеспечение информационной безопасности очень важно идентифицировать будущего нарушителя информационной безопасности компании и создать его предполагаемую модель.

По отношению к разнообразным компаниям нарушители могут быть разделены на внешних и внутренних [3].

1.Внешние нарушители.

В качестве потенциальных внешних нарушителей компанией рассматриваются:

− бывшие сотрудники компании;

− представители организаций, взаимодействующих по вопросам технического обеспечения компании;

− клиенты компании;

− посетители зданий и помещений компании;

− конкурирующие компании;

− члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию лица, случайно или умышленно проникшие в корпоративную информационную систему компании из внешних телекоммуникационных сетей (хакеры).

2.Внутренние нарушители.

В качестве потенциальных внутренних нарушителей компанией рассматриваются:

− зарегистрированные пользователи информационных систем компании;

− сотрудники компании, не являющиеся зарегистрированными пользователями и не допущенные к ресурсам информационных систем компании, но имеющие доступ в помещения и здания;

− персонал, обслуживающий технические средства корпоративной информационной системы компании;

− сотрудники самостоятельных структурных подразделений компании, задействованные в разработке и сопровождении программного обеспечения;

− сотрудники самостоятельных структурных подразделений, обеспечивающие безопасность компании;

− руководители различных уровней.

В отношении внешних и внутренних нарушителей принимаются следующие ограничения и предположения о характере их возможных действий:

− нарушитель тщательно скрывает свои неправомерные и несанкционированные действия от других служащих компании;

− неправомерные и несанкционированные действия нарушителя могут быть последствием ошибок пользователей, обслуживающего и эксплуатирующего персонала, а также недостатков принятой технологии хранения, обработки и передачи информации;

− в своей деятельности потенциальный нарушитель может использовать любое имеющееся у него средство захвата информации, воздействия на информационные системы и информацию, денежные средства для подкупа персонала компании, вымогательство, методы социальной инженерии и другие методы и средства для достижения стоящих перед ним задач;

− внутренний нарушитель может действовать в сговоре с внешним нарушителем.

На основании портрета предполагаемого нарушителя, производится оценка рисков информационной безопасности и разрабатывается план мероприятий по обеспечению защиты важной информации. При этом следует учитывать такие факторы, как: потери от возникновения утечки информации, дифференциация информации по степени значимости, затраты по реализации мероприятий, наличие необходимых трудовых и технических ресурсов. По результатам проведенного анализа, производится подбор методов защиты и программного обеспечения. Среди методов защиты информации в настоящее время необходимо отметить сертификацию и аудит информационных систем, распределенный цикл разработки программных продуктов, средства шифрования, использование электронно-цифровой подписи, антивирусного программного обеспечения и средств видеонаблюдения. Все более популярным среди крупных и средних компаний во всем мире является использование услуг дата-центров для хранения стратегически важной информации, предотвращения ее утечки и несанкционированного доступа.

Литература:

  1. Информационная безопасность предприятия. [Электронный ресурс]: http://efsol.ru/promo/itsenterprise.html
  2. Обеспечение информационной безопасности предприятия. [Электронный ресурс] http://www.arinteg.ru/articles/informatsionnayabezopasnostpredpriyatiya25799.html
  3. Шаблоны типовых документов по информационной безопасности. Режим доступа: http://securitypolicy.ru

Обсуждение

Социальные комментарии Cackle