Состояние информационной безопасности предприятия - Автоматизированные системы управления и обработки информации

Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на ресурсы, используемые в автоматизированной системе. Критериями информационной безопасности являются конфиденциальность, целостность и будущая доступность информации. Современные методы управления рисками позволяют решить ряд задач перспективного стратегического развития предприятия.

Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом и техническом уровнях обеспечения защиты информации.

Во-вторых, в систему риск-менеджмента на предприятии может быть включена политика безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. С этой целью рекомендуется осуществить расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, произвести соотношение расходов на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения. Необходимо выявлять и проводить первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы. Следует определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия, а также разработать необходимый пакет организационно-распорядительной документации. Одновременно следует осуществлять разработку и согласование со службами предприятия, надзорными органами проекта внедрения необходимого комплекса защиты, учитывающего современный уровень и тенденции развития информационных технологий. Кроме того, важным мероприятием поддержки системы безопасности информации является обеспечение поддержания внедренного комплекса защиты в соответствии с изменяющимися условиями работы предприятия, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты. Система защиты информации на предприятии преследует такие цели как предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.

1. Угрозами доступности информации являются:

Разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);

Отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.

Мерами предотвращения данных угрозы может являться следующее:

Установка программы антивируса.

Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.

Установка аварийных источников бесперебойного питания.

Подвод электроэнергии не менее от двух независимых линий электропередачи.

Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.

2. Угрозами целостности информации являются:

Нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;

Потеря информации на жестких носителях;

Угрозы целостности баз данных;

Угрозы целостности программных механизмов работы предприятия.

Мерами предотвращения данной угрозы может являться следующее:

Введение и частая смена паролей.

Использование криптографических средств защиты информации.

3. Угрозами конфиденциальности являются:

Кражи оборудования;

Делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;

Открытие портов;

Установка нелицензионного ПО;

Злоупотребления полномочиями.

Методы и средства защиты информации на предприятии:

Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:

1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.

Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:

Гражданский кодекс РФ ст. 139;

Уголовный кодекс гл. 28 ст. 272, 273, 274, 138, 183;

Закон Российской Федерации "Об информации, информатизации и защите информации";

Закон Российской Федерации "О коммерческой тайне".

2. Административный уровень информационной безопасности.

Политика информационной безопасности пока не утверждена.

3. Организационный уровень защиты информации.

Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т. к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.

Организационные меры защиты информации на предприятии реализованы следующим образом:

Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;

Организована работа с документами и документированной информацией, т. е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.

В качестве недостатков данного уровня защиты можно указать следующие факты.

Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.

Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.

4. Программно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации.

На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т. е. спецификация и контроль действий пользователей над информационными ресурсами организации.

Программно-аппаратные средства защиты информации:

1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.

SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме "точка-точка" с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS).

2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.

Производится нерегулярное обновление баз и сканирование рабочих станций.

3. Встроенный Windows Backup для создания архивов.

OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.

4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).

Похожие статьи




Состояние информационной безопасности предприятия - Автоматизированные системы управления и обработки информации

Предыдущая | Следующая