Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Информационная безопасность.




Защита информации

Формирование режима информационной безопасности — проблема комплексная, при реализации которой следует учитывать современное состояние ИТ. Почти все организации ждут от информационных систем в первую очередь полезной функциональности. Компьютерные системы создаются не ради защиты данных, а наоборот, защита данных строится ради выгодного с экономической точки зрения использования компьютерных систем. Поэтому для получения полезной функциональности весьма естественно обратиться к наиболее современным решениям в области информационных технологий, к опыту как специалистов поставщиков решений по безопасности, так и руководителей департаментов компаний, ежедневно сталкивающихся с проблемой построения систем защиты информации.

Понятие «защиты информации». Прежде всего необходимо четко сформулировать основную тему — «защищенная система». Распространенным заблуждением остается мнение, что защищенная система — это система, в которую установлены некоторые средства защиты информации, например антивирусы и межсетевые экраны. Однако А. Сабанов, коммерческий директор компании Aladdin R.D., определяет понятие защищенной автоматизированной системы (обработки, передачи и хранения) информации как системы, которая обеспечивает безопасность (целостность, конфиденциальность и, одновременно доступность для всех авторизованных пользователей) обрабатываемой информации и поддерживает свою работоспособность («живучесть» и восстанавливаемость) в условиях воздействия на нее заданного множества угроз.

В общих чертах для обеспечения безопасности и ее качественного определения необходимо ответить на следующие вопросы: какая информация нуждается в защите, какие пользователи и в какой степени имеют к ней доступ.

Ответив на эти вопросы и руководствуясь принципом: «Запрещено все, что не разрешено», можно выработать политику информационной безопасности, а собственно безопасность можно будет оценить выполненностью положений политики безопасности. Такое «расставление галочек» скрывается за термином «аудит системы безопасности».

Постоянно растущая зависимость современных организаций от информационных технологий (ИТ), ключевого персонала, качества сервиса поставщиков услуг, а также лояльности клиентов приводит к тому, что обеспечение непрерывности деятельности, а также минимизация негативных последствий, обусловленных какого-либо рода прерываниями или воздействиями, являются одними из ключевых задач, стоящих перед руководством любой компании. Риски, дополнительно привносимые современной действительностью, в частности угрозами террористической активности, вирусными и хакерскими атаками, только повышают актуальность данных вопросов.

Одной из наиболее острых проблем в настоящее время является плачевно низкий уровень безопасности большинства систем, подключенных к глобальной сети. Среди факторов, напрямую влияющих на уровень безопасности компьютерной системы, особое место занимает коммерческое ПО, для которого большое количество опций и быстрый вывод продукта на рынок зачастую имеет большее значение, чем безопасность продукта. Разработчиками, взломщиками и независимыми исследовательскими группами постоянно выявляются ошибки в таком ПО. Распространение коммерческих продуктов в глобальном масштабе означает, что как только обнаружена уязвимость, взломщик может многократно использовать ее на сотнях тысяч или даже миллионах систем, на которых установлен недоработанный в плане безопасности продукт.

Низкий уровень подготовки пользователя в области компьютерной безопасности зачастую приводит к тому, что он не может самостоятельно установить обновление, устраняющее уязвимость в системе. В результате система с неустраненной уязвимостью может легко подвергнуться взлому со стороны хакера, который впоследствии будет использовать ее в качестве стартовых позиций для концентрации атак на более защищенные системы или же он просто может с их помощью маскировать свой путь, используя машины жертв.

 

Информационная безопасность

По определению экспертов по информационной безопасности, политика информационной безопасности организации — это внутренний нормативный документ, который имеет трехуровневую иерархию:

• требования — это высокоуровневые положения, которые определяют принципы и направления выполнения действий. Например, для критичных серверов должно выполняться регулярное резервное копирование;

· стандарты — это детальные положения, которые определяют особенности выполнения действий. Например, для серверов А, Б и В ежедневно должно выполняться инкрементальное резервное копирование и еженедельно — полное резервное копирование;

· организационно-распорядительные и нормативно-технические документы — это инструкции, определяющие последовательность выполнения требований и стандартов. Например, инструкция по резервному копированию.

Политика безопасности — внутренний стандарт, обязательный для всех, – должна быть выработана таким образом, чтобы решить следующие задачи:

· зафиксировать единый перечень требований по информационной безопасности для всей организации;

· распределить зоны ответственности между подразделениями и персоналом организации в части информационной безопасности.

Разработка политики позволит обеспечить ИБ с учетом требований национальных и международных стандартов (например, ISO 17799, ISO 15408), скоординировать, формализовать и зафиксировать требования и процедуры обеспечения ИБ, обосновать и планировать мероприятия по обеспечению ИБ, зафиксировать ответственность администраторов и пользователей, оценить возможные убытки и соразмерить их с затратами.

Однако следует заметить, что хотя политика безопасности информации и позволит оценить и предупредить многие потенциальные проблемы, она не сможет избавить от проблем полностью, поскольку безопасность оперирует вероятностями и оценивает их с заданной долей вероятности.

В любом случае при составлении политики безопасности надо учитывать и человеческий фактор: неправильно понятый и, соответственно, неправильно исполненный стандарт также может служить угрозой безопасности, а сам он превратится просто в кучу бумаги.

Необходимо отметить, что если для частного лица безопасность его домашнего компьютера — это его личное дело, то для компаний — это уже вопрос юридический, поскольку они имеют дело не только, например, с коммерческой тайной, базами данных с личными сведениями о сотрудниках, но зачастую имеют доступ к государственной тайне.

Помимо этого, как отмечает Ю. Малинин, руководитель проектов НОУ «Академия Информационных Систем», в преддверии вступления России в ВТО особую значимость приобретает совершенствование нормативно-правовой базы в области информационных технологий. Сейчас проводится ряд мероприятий для решения этого вопроса как на федеральном, так и региональном уровнях. Так чем же руководствоваться компаниям, какие нормативные акты и стандарты использовать?

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...