В статье рассматривается проблема защищенности автоматизированных систем от внешних и внутренних воздействий; описаны требования к автоматизированной системе и этапы организации информационной защиты; рассмотрены технические и административные методы обеспечения информационной безопасности автоматизированной системы.
Ключевые слова: информационная безопасность, автоматизированные системы, защищенность, система, безопасность
The article deals with the problem of protection of automated systems from external and internal influences; describes the requirements for an automated system and the stages of organizing information protection; discusses technical and administrative methods for ensuring information security of an automated system.
Keywords : information security, automated systems, security, system, security
Автоматизированные системы очень часто становятся объектами атак злоумышленников. Обеспечить безопасность такой системы бывает не так просто, ведь чем она многофункциональной, тем большее количество уязвимостей в ней может быть. Решение данной проблемы является очень важным аспектом в обеспечении качественной и эффективной работы организации.
Информационная безопасность автоматизированной системы не может быть обеспечена на 100 % если нарушены три главных свойства информации, которая содержится в системе: ее целостность (существование данных в неискаженном виде), ее доступность (обеспечение своевременного и полноценного доступа субъектам к информации) и ее конфиденциальность (предоставление доступа к какой-либо информации лишь ограниченному кругу лиц).
Существование автоматизированных систем невозможно без организации информационной безопасности. Для решения этой задачи необходим специальный подход, включающий в себя этапы планирования (составление перечня обязательных к соблюдению требований), внедрения (распространение нововведений после устранения ошибок, которые могут быть допущены на первом этапе), управления (реагирование на все внутренние и внешние угрозы, а также нештатные ситуации), планового руководства (экспертиза системы безопасности и анализ полученных данных с целью дальнейшей оптимизации и развитии системы), повседневной работы по поддержанию ИБ.
Любая уязвимость системы может быть использована злоумышленником в корыстных целях, и для того, чтобы обеспечить эффективную информационную безопасность автоматизированной системы необходимо знать то, как взломщик может осуществить несанкционированный доступ в эту систему с целью получения контроля над информацией предприятия, определенного человека или третьего лица. Для такой цели выделяется 4 стадии взлома: сбор информации о системе, которую необходимо взломать (сбор всех данных о средствах и уровне защиты системы, а также об особенностях ее работы), атака на систему (получение несанкционированного доступа), реализация цели атаки (похищение, уничтожение, подмен, передача третьим лицам конфиденциальных данных) и распространение атаки (продолжение взлома остальных участков системы).
Чтобы защита АС была эффективной, необходимо использовать как можно большее число объектов ИБ. Данные объекты должны защищать систему от внешних воздействий и противостоять всем угрозам. Выделяют следующие технические способы обеспечения ИБ АС: использование надежных паролей, в том числе специальных средств, автоматически задающих и меняющих пароли; использование встроенных учетных записей, то есть, все профили пользователей системы должны быть заблокированы и защищены; разграничение доступа к определенным компонентам и функциям системы между субъектами. Также можно использовать и другие методы защиты, которые могут повысить уровень ИБ: защита от спама (превентивная мера защиты системы от «падения»), антивирусная программа (защита от всех видов угроз), брандмауэр (необходим для обнаружения внешней атаки), программа для анализа контента на наличие угроз и уязвимостей, которые могут нести потенциальную опасность и т. д.. Не менее важно и обеспечение серверной защиты системы, ведь при неправильной настройке она может стать самой главной уязвимостью автоматизированной системы. Поэтому необходимо тщательно и с повышенным вниманием настраивать защитные программы, уделяя внимание каждому компоненту.
Одним из важных компонентов обеспечения ИБ АС является разработка и внедрение административных методов защиты, являющихся промежуточными между законодательно-правовыми и программно-техническими методами. Основными административными методами обеспечения информационной безопасности АС являются: утверждение на предприятии локальных нормативных актов, регламентирующих доступ к АС, защиту и обработку данных; обучение и мотивация сотрудников; введение режима коммерческой тайны и ответственности за ее разглашение, внесение соответствующих положений в трудовые договоры; формирование у работников заинтересованности в защите данных.
На сегодняшний день вопрос защиты автоматизированных систем выходит на первый план. Быстрый темп научно-технического прогресса сопровождается быстрым развитием средств и методов, которые могут угрожать безопасности АС, уязвимость систем повышается, растет количество хакерских атак. Поэтому, знание основных аспектов обеспечения информационной безопасности автоматизированной системы является одним из важнейших критериев при ее проектировании и создании.
Литература:
- Мельников Д. А. Организация и обеспечение безопасности информационно-технологических сетей и систем. — МИФИ. — 2012.
- Бирюков А. А. Информационная безопасность: защита и нападение. — 2–3 изд., перераб. и доп. — М.: ДМК Пресс, 2017, — 434 с.
