Основные принципы обеспечения информационной безопасности
Защита данных
с помощью DLP-системы
С лужба безопасности предприятия, организации не может предусмотреть все угрозы, несмотря на широкие возможности систем защиты данных от постороннего доступа и активное внедрение новых методов и способов обеспечения информационной безопасности. Особенно сложно предусмотреть все мероприятия и организовать надежную систему сохранности и ограничения доступа к информации, если в компании работает большое количество сотрудников.
Собственно, основная часть работы сотрудника компании, ответственного за инциденты, касающиеся информационной безопасности, сводится к тому, чтобы полагаться на интуицию и бдительность каждого работника, например, когда в полученном письме что-то выглядит не совсем правильно. Для того чтобы предотвратить случаи утечки информации из-за неправильного трактования, ошибок или упущений во время работы с ней, которые открывают путь к возможному нарушению, необходимо ознакомиться с основными принципами обеспечения безопасности в информационной сфере и соблюдать требования, обеспечивающие сохранность сведений в компании.
Утечка данных может случиться в самые различные моменты работы с ними. К примеру, похищение сведений возможно при нажатии на ссылку в электронном письме. Это наиболее распространенный вариант, когда может пострадать не один человек, а сотни и тысячи людей, которых эта информация касается прямо или косвенно.
Второе место в перечне рисков утечки информации занимает мошенничество в социальной сети – вымогание злоумышленниками паролей, попытки получить другие личные данные. Иногда сведения могут добываться еще одним неправомерным путем – с использованием шантажа. Нередко злоумышленники обманывают доверчивых собеседников по телефону.
Основными принципами деятельности мошенников являются поиск «жертвы» и создание ложной информации, которая привлечет внимание и заставит выполнить какое-либо действие, после которого злоумышленники получат доступ к необходимым им сведениям.
Поэтому будет сложно найти спасение в какой-либо волшебной таблетке: чтобы обезопасить компанию и ее информацию, а также сотрудников, нужно ознакомиться с программой обеспечения информационной безопасности, разработать систему защиты сведений, хранящихся и обрабатываемых на предприятии, и создать полноценную систему контроля за соблюдением всеми работниками режима безопасности информации.
Что такое информационная безопасность и какова ее цель
Информационная безопасность – это практические действия, которые направлены на предотвращение несанкционированного доступа к хранящимся, обрабатываемым и передаваемым данным в компании. Помимо этого, методы, которые используются для ее обеспечения, направлены на пресечение возможности использования, раскрытия, искажения, изменения или уничтожения данных, хранящихся на компьютерах, в базах данных, архивах или любых других хранилищах, носителях.
Основной задачей создания информационной безопасности на предприятии является защита данных, а именно обеспечение их целостности и доступности без ущерба для организации. Систему информационной безопасности выстраивают постепенно.
Процесс включает идентификацию:
На сегодня существует несколько методов и технических средств, которые помогут достичь высокого уровня информационной безопасности наиболее эффективным способом.
Определение собственной системы защиты информации предприятием начинается с четкой постановки целей, планирования конкретных шагов, направленных на сохранность ценных корпоративных сведений. Соблюдение политики безопасности всеми участниками процесса, внедрение новых методов информационной безопасности позволит в полной мере воздействовать на разные сферы деятельности организации. Основное направление – создание условий стопроцентной безопасности и защиты от нарушения аутентификации, конфиденциальности, целостности.
Разработанная схема защиты должна гарантировать использование разного уровня доступов к корпоративной информации за счет идентификации личности или запрограммированной авторизации сотрудников, имеющих право доступа к информации и ее обработке. В рамках разработанной в компании политики безопасности сотрудники получат возможность использовать определенную документацию исключительно в рабочих целях. Документально оформленные и установленные ограничения помогут оперативно выявлять нарушителя, не допуская утечки информационных ресурсов за пределы предприятия.
Основная нагрузка в вопросе контроля за выполнением политики защиты информации предприятия ложится на службу безопасности. Правильная работа сотрудников с информацией напрямую зависит от поставленных целей. Например, при предоставлении работнику доступа к определенным бумагам стоит обратить внимание на передачу данных при помощи облачного хранилища – оно должно быть защищенным; использование криптографической защиты позволит максимально ограничить возможность несанкционированного скачивания документов.
Разграничение уровней доступа к использованию информации поможет координировать запросы, распределять функции между сотрудниками, своевременно идентифицировать разрешенные и запрещенные действия. Это позволит не только пресечь неправильные, неправомерные действия с обрабатываемыми сведениями, но и поможет корректировать работу с информацией при выявлении отклонений в работе с этими данными.
Как обеспечить информационную безопасность для сотрудников компании
Специалисты в области ИБ рекомендуют использовать программные алгоритмы для обеспечения информационной безопасности: их выполнение позволяет надежно защитить информацию и своевременно отреагировать на возможные инциденты. Обучение сотрудников организации правилам работы с данными уменьшит количество инцидентов в сфере безопасности информации и финансовые потери от них.
Основные моменты, которые должны быть учтены при создании и функционировании системы информационной безопасности на предприятии:
Следуя этим принципам, руководитель легко сможет обеспечить информационную безопасность для сотрудников предприятия.
Цели обучения персонала вопросам информационной безопасности
Создание эффективных систем безопасности на предприятии – сложное мероприятие, хотя есть много программ, которые способны автоматизировать процесс контроля. Профессиональные метрики не просто говорят о том, что было сделано, но и о том, насколько отлично это было сделано, – они позволяют прогнозировать будущее, а не пересчитывают прошлое.
Вот несколько советов для повышения осведомленности и эффективного обучения безопасной работе с информационными системами:
Тем не менее собственнику предприятия нужно работать со своей командой, которая обеспечивает ИБ, чтобы обеспечить всем возможность поддержания доверия и прозрачность отношений.
Программы, направленные на обучение, необходимо постоянно дорабатывать и обновлять с учетом новых тенденций и появления новых методик и способов защиты информации. Застоявшиеся способы борьбы с посторонним вмешательством не могут гарантировать максимальную информационную защиту.
При разработке обучающих программ следует учитывать:
Дистанционное преподавание является одним из продуктивных способов быстрого и простого обучения любого количества сотрудников без нарушения установленного режима рабочего времени и без снижения продуктивности их труда. Это могут быть ролики, фильмы, скринсейверы, мультфильмы или краткие новости от службы безопасности. Постоянное напоминание сотрудникам о важности информационной защиты позволяет привить стойкие навыки в вопросах реализации требований по защите информации.
Обучение сотрудников не гарантирует 100% защиту данных, но повышает уровень защиты системы в целом.
Что нужно знать о фишинговых атаках
Для того чтобы достичь нужного уровня защиты в информационно-поисковой системе, нужно снизить количество инцидентов, базируясь на основных принципах обеспечения безопасности. Для начала нужно сосредоточиться на самом большом риске для сотрудников – фишинге.
Фишинг-атаки – это угрозы, которые являются наиболее распространенным способом манипулирования сотрудниками. Цель этих действий – подвергнуть компанию риску. Это мошенничество строится на методах социальной инженерии и ответственно за массовые нарушения, о которых сегодня можно услышать повсеместно.
К примеру, создание хакером измененного адреса Facebook: пользователи, попадающие на страницу, не замечают изменений, входят в систему и предоставляют мошеннику свои личные данные.
Фишинговые письма содержат психологические ловушки. Как правило, их адресуют конкретному сотруднику или компании. Если фишинговая рассылка охватывает большлй круг получателей, то письма менее специфичны.
Защита от этого типа атак строится на бдительности и осведомленности каждого сотрудника, иначе из-за одного открытого письма может пострадать доступ к информационным ресурсам, например, из-за подхваченного вируса. Нужно поощрять сотрудников, если они заметят подозрительное письмо и сообщат о нем. Так информация и программное обеспечение останутся целыми.
Для того чтобы обеспечить нужный уровень защиты системы информационной безопасности, можно симулировать фишинговые атаки для обучения сотрудников правильному поведению при получении подозрительных писем и выявления пробелов в знаниях, неспособности защитить конфиденциальную информацию.
Необходимо помнить: целью такого рода нападения является в первую очередь получение сведений об электронных платежных системах, банковских счетах, переводах. Фишинг, который направлен на определенного сотрудника, можно предупредить при помощи установки ограничений на отправку и получение электронных писем, сообщений.
Несмотря на современные разработки в сфере борьбы с интернет-атаками, данный вид нарушения политики безопасности остается действенным.
Виды атак: от чего необходимо защититься
Лучший способ выбрать соответствующий ответ на угрозу безопасности – это понять, какие типы атак могут быть использованы против вас.
Список основных видов атак:
Политика безопасности снижает большинство рисков, связанных с различными видами атак на информационном ресурсе.
Злоумышленники редко входят через «парадную дверь» или, в данном контексте, межсетевой экран оборудования. Но каждая атака, как правило, работает по определенной схеме или по «цепочке киберубийств». Систему защиты в данном случае выстраивать нужно постепенно, охватывая все каналы связи.
«Цепочка киберубийств» – это последовательность этапов, необходимых злоумышленнику для успешного проникновения в сеть и удаления из нее нужных ему данных или совершения других действий. Разработка плана мониторинга и реагирования на основе модели «цепочки киберубийств» является эффективным методом предотвращения таких действий со стороны злоумышленников, поскольку в нем основное внимание уделяется фактическим атакам, совершаемым злоумышленником удаленно. Цель нападающего – найти нужные данные и уничтожить их, перед этим совершив разведку и разработку плана атаки.
О каких событиях безопасности действительно нужно беспокоиться
Чтобы классифицировать типы происшествий в сфере безопасности информационной системы, нужно сопоставить каждое из них с «цепочкой киберубийств», чтобы определить соответствующую приоритетность и стратегию реагирования на инциденты.
Например, при сканировании порта многие проблемы игнорируются, если есть исходный IP-адрес, не имеющий плохой репутации, и с одного и того же адреса совершается несколько действий за короткий промежуток времени. Информационный ресурс в большинстве случаев остается нетронутым.
Вредоносную инфекцию, попавшую на устройство с программным обеспечением, нужно устранить немедленно. Основная методика лечения – сканирование сети на предмет наличия признаков компрометации, связанных с проблемой, и уничтожение их до того, как злоумышленники скопировали базу данных. На охраняемом объекте необходимо настроить веб-серверы для защиты от запросов HTTP и SYN. Во время атаки нужно скоординировать свои действия с провайдером, чтобы заблокировать исходные IP-адреса.
Иногда нужно расследовать все связанные действия, чтобы предотвратить отвлечение мошенниками внимания от более серьезной попытки атаки. Информационное сопротивление в данном случае успешно при тесном сотрудничестве с интернет-провайдером или поставщиком услуг.
Нужно определить учетные записи привилегированных пользователей для всех доменов, серверов, приложений и критических устройств. Потребуется убедиться, что мониторинг включен для всех систем и для всех системных событий. Помимо этого, необходимо провести резервное копирование всех важных данных, тестировать, документировать и обновлять процедуры восстановления системы. Во время компрометации системы нужно тщательно собирать доказательства и документировать все этапы восстановления.
При обеспечении безопасности информации какой подход используется
ГОСТ Р ИСО/МЭК 27002-2012
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
Свод норм и правил менеджмента информационной безопасности
Information technology. Security techniques. Code of practice for information security management
Дата введения 2014-01-01
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») и Обществом с ограниченной ответственностью «Информационный аналитический вычислительный центр» (ООО «ИАВЦ») на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5).
0 Введение
0.1 Что такое информационная безопасность?
Информация может существовать в различных формах: быть напечатанной или написанной на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или выражена устно. Независимо от формы представления информации, средств ее распространения или хранения, она всегда должна быть адекватно защищена.
Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации риска бизнеса, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.
Информационная безопасность достигается путем реализации соответствующего комплекса мер и средств контроля и управления, которые могут быть представлены политиками, процессами, процедурами, организационными структурами, а также функциями программных и аппаратных средств. Указанные меры и средства контроля и управления необходимо создавать, реализовывать, подвергать мониторингу, анализировать и улучшать, если необходимо, для обеспечения уверенности в том, что определенная безопасность и определенные цели бизнеса организации достигнуты. Все это необходимо выполнять наряду с другими процессами менеджмента бизнеса.
0.2 Почему необходима информационная безопасность?
Информация и поддерживающие ее процессы, системы и сети являются важными деловыми активами. Определение, достижение, поддержка и улучшение информационной безопасности могут быть существенными аспектами для поддержания конкурентоспособности, денежного оборота, доходности, соблюдения законов и коммерческого имиджа.
Организации, а также их информационные системы и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, пожар или наводнение. Источники ущерба, например вредоносный код, компьютерное хакерство и атаки типа отказа в обслуживании, становятся более распространенными и все более и более изощренными.
Информационная безопасность важна как для государственного, так и для частного секторов бизнеса, а также для защиты критических инфраструктур. В обоих секторах информационная безопасность действует в качестве фактора, способствующего, например использованию «электронного правительства» или «электронного бизнеса», и чтобы избежать или снизить соответствующие риски. Взаимодействие сетей общего пользования и частных сетей, а также совместное использование информационных ресурсов приводит к увеличению трудностей, связанных с управлением доступом к информации. Тенденция к использованию распределенной обработки данных также ослабляет эффективность централизованного контроля.
При проектировании многих информационных систем проблемы безопасности не учитывались. Уровень безопасности, который может быть достигнут техническими средствами, имеет ряд ограничений и, следовательно, должен поддерживаться надлежащим менеджментом и процессами. Выбор необходимых мер и средств контроля и управления требует тщательного планирования и внимания к деталям. Менеджмент информационной безопасности нуждается, как минимум, в участии всех сотрудников организации. Кроме того, может потребоваться участие акционеров, поставщиков, представителей третьей стороны, клиентов или представителей других внешних сторон. Кроме того, могут потребоваться консультации специалистов сторонних организаций.
0.3 Как определить требования к информационной безопасности
Организация должна определить свои требования к информационной безопасности. Существуют три основных источника требований безопасности.
Один из источников складывается из оценки рисков организации, принимая во внимание общую стратегию и цели бизнеса организации. Посредством оценки рисков идентифицируются угрозы активам организации, оцениваются уязвимости и вероятности возникновения угроз, а также оцениваются возможные последствия.
Вторым источником являются правовые, законодательные, нормативные и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг, а также их социокультурная среда.
Еще одним источником является определенный набор принципов, целей и требований бизнеса для обработки информации, которые разработала организация для поддержки своей деятельности.
0.4 Оценка рисков безопасности
Требования безопасности определяются с помощью систематической оценки рисков. Расходы на меры и средства контроля и управления должны быть соизмеримы с возможным ущербом бизнесу в результате отказа от обеспечения безопасности.
Результаты оценки рисков помогут в определении конкретных мер и приоритетов в области менеджмента рисков информационной безопасности, а также внедрению мер и средств контроля и управления, выбранных для защиты от этих рисков.
Оценка рисков должна периодически повторяться, чтобы учитывать любые изменения, которые могли бы повлиять на результаты оценки риска.
Более подробную информацию об оценке рисков безопасности можно найти в 4.1 «Оценка рисков безопасности».
0.5 Выбор мер и средств контроля и управления
После того как были определены требования к безопасности и риски безопасности и приняты решения в отношении обработки рисков, следует выбрать и внедрить такие меры и средства контроля и управления, которые обеспечат уверенность в снижении рисков до приемлемого уровня. Меры и средства контроля и управления могут быть выбраны из настоящего документа и других источников, а также могут быть разработаны новые меры и средства контроля и управления, удовлетворяющие специфическим потребностям организации. Выбор мер и средств контроля и управления зависит от решений организации, основанных на критериях принятия рисков, вариантах обработки рисков и общем подходе к менеджменту рисков, применяемом в организации. При этом необходимо также учитывать все соответствующие национальные и международные законы и нормы.
Некоторые меры и средства контроля и управления, приведенные в настоящем документе, рекомендуется рассматривать как руководящие принципы для менеджмента информационной безопасности и применять для большинства организаций. Более подробно такие меры и средства контроля и управления рассматриваются ниже под заголовком «Отправная точка информационной безопасности».
Дополнительную информацию о выборе мер и средств контроля и управления и других вариантах обработки риска можно найти в 4.2 «Обработка рисков безопасности».
0.6 Отправная точка информационной безопасности
Отдельные меры и средства контроля и управления могут рассматриваться как подходящая отправная точка информационной безопасности. Такие меры и средства контроля и управления либо основываются на ключевых требованиях законодательства, либо рассматриваются как общепринятая практика в области информационной безопасности.
Ключевыми мерами и средствами контроля и управления, с точки зрения законодательства, для организации являются:
a) защита данных и конфиденциальность персональных данных (см. 15.1.4);
b) защита документов организации (см. 15.1.3);
c) права на интеллектуальную собственность (см. 15.1.2).
Меры и средства контроля и управления, рассматриваемые как общепринятая практика в области информационной безопасности, включают:
a) документирование политики информационной безопасности (см. 5.1.1);
b) распределение обязанностей по обеспечению информационной безопасности (см. 6.1.3);
c) осведомленность, обучение и тренинг в области информационной безопасности (см. 8.2.2);
d) корректирующая обработка в прикладных программах (см. 12.2);
e) менеджмент технических уязвимостей (см. 12.6);
f) менеджмент непрерывности бизнеса (см. раздел 14);
g) менеджмент инцидентов информационной безопасности и необходимое совершенствование (см. 13.2).
Перечисленные меры и средства контроля и управления применимы для большинства организаций и сред.
Следует отметить, что хотя все меры и средства контроля и управления, приведенные в настоящем документе, являются важными, уместность какой-либо меры и средства контроля и управления должна определяться в свете конкретных рисков, с которыми сталкивается организация. Следовательно, несмотря на то, что вышеописанный подход рассматривается как отправная точка информационной безопасности, он не заменяет выбор мер и средств контроля и управления, основанный на оценке рисков.
0.7 Важнейшие факторы успеха
Практика показывает, что для успешного внедрения информационной безопасности в организации решающими факторами зачастую являются следующие:
a) соответствие целей, политик и процедур информационной безопасности целям бизнеса;
b) подход и основы для внедрения, поддержки, мониторинга и улучшения информационной безопасности, которые согласуются с корпоративной культурой;
c) видимая поддержка и обязательства со стороны руководства всех уровней;
d) четкое понимание требований информационной безопасности, оценки рисков и менеджмента рисков;
е) эффективный маркетинг информационной безопасности среди всех руководителей, сотрудников и других сторон для достижения осведомленности;
f) распространение руководящих указаний политики информационной безопасности и соответствующих стандартов среди всех руководителей, сотрудников и других сторон;
g) обеспечение финансирования деятельностей по менеджменту информационной безопасности;
h) обеспечение соответствующей осведомленности, обучения и тренинга;
i) создание эффективного процесса менеджмента инцидентов информационной безопасности;
Обратите внимание на то, что измерения информационной безопасности не входят в сферу действия настоящего стандарта.
0.8 Разработка собственных рекомендаций
Настоящий свод норм и правил может расцениваться как отправная точка для разработки рекомендаций, специфичных для организации. Не все рекомендации, меры и средства контроля и управления, приведенные в настоящем своде норм и правил, могут быть применимы. Более того, могут потребоваться дополнительные меры и средства контроля и управления и рекомендации, не включенные в данный документ. В документы, содержащие дополнительные рекомендации, а также меры и средства контроля и управления, в соответствующих случаях полезно включать перекрестные ссылки на положения настоящего стандарта для облегчения проверки соответствия, проводимой аудиторами и партнерами по бизнесу.
1 Область применения
Настоящий национальный стандарт предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения менеджмента информационной безопасности в организации. Цели, изложенные в данном национальном стандарте, обеспечивают полное руководство по общепринятым целям менеджмента информационной безопасности.
Средства обеспечения информационной безопасности
Защита данных
на базе системы
Р азвитие информационных технологий и компьютеризация экономической отрасли стали неотъемлемой частью жизни современного общества. И поскольку информация является одним из наиболее ценных и важных ресурсов любого бизнеса, важнейшим аспектом в функционировании предприятия стало обеспечение информационной безопасности.
Понятие «информационная безопасность» включает комплекс мер, направленных на предупреждение и устранение несанкционированного доступа, обработки, искажения, форматирования, анализа, несогласованного обновления, корректирования и уничтожения данных. Проще говоря, это комплекс действий, стандартов и технологий, необходимых для защиты конфиденциальных данных.
Крупные корпорации и предприятия малого бизнеса, в силу необходимости сохранения важной и ценной деловой информации, нанимают в штат профессионалов в сфере защиты конфиденциальных данных. Их задачей является защита всех электронных устройств от хакерских атак, чаще всего направленных на кражу конфиденциальной информации или перехват управления IT-системой организации.
Госорганы, оборонный комплекс, бизнес-корпорации, финансовые структуры, медучреждения и представители малого бизнеса регулярно собирают большие объемы конфиденциальных данных о персонале, клиентах, конкурентах, продукции и финансовых оборотах. Утечка ценной информации к конкурентам или мошенникам сулит компании, ее руководству и клиентам значительные финансовые потери и бьет по престижу организации.
Создание надежной системы сохранения конфиденциальной информации – трудоемкий процесс, которому нужно уделять пристальное внимание. При этом важно владеть знаниями и оперировать методиками, обеспечивающими информационную безопасность.
Цель защиты информации – сохранить данные и целостность системы, минимизировать потери в случае искажения информационных сведений. Сотрудники отделов информационной безопасности компании с помощью специального ПО могут отследить любое действие в корпоративной системе – создание, изменение, удаление, копирование и распространение важных файлов.
Для правильного внедрения средств обеспечения защиты конфиденциальной информации компании требуется соблюдать три основных принципа:
Без соблюдения этих принципов защита информации невозможна.
Какими бывают средства информационной безопасности?
На практике обеспечение информационной безопасности фирмы осуществляется с помощью следующих средств:
Моральные средства защиты
Под моральными средствами подразумевают нормы поведения и правила работы с информационными активами, сложившиеся по мере распространения и внедрения электронной техники в различных отраслях государства и общества в целом. По факту это необязательные требования в отличие от законодательно утвержденных. Однако их нарушение приведет к потере репутации человека и организации.
К морально-этическим средствам защиты информации в первую очередь стоит отнести честность и порядочность сотрудников. В каждой организации есть свой свод правил и предписаний, направленный на создание здорового морального климата в коллективе. Механизмом обеспечения безопасности служит внутренний документ компании, учитывающий особенности деловых процессов и информационной структуры, а также устройство IT-системы.
Правовые средства защиты
Они основываются на действующих в Российской Федерации законах, решениях и нормативных актах, устанавливающих правила обработки персональных данных, гарантирующих права и обязанности участникам при работе с информационными ресурсами в период их обработки и использования, а также возлагающих ответственность за нарушение этих постановлений, тем самым устраняя угрозу несогласованного использования конфиденциальной информации. Такие правовые методики используются в качестве профилактических и предупреждающих действий. В основном это организованные пояснительные беседы с персоналом предприятия, пользующимся корпоративными электронными устройствами.
Организационные средства
Это часть администрирования организации. Они регулируют функционирование системы обработки информации, работу штата организации и процесс взаимодействия работников с системой так, чтобы в большей степени устранить или предупредить угрозу информационной атаки либо уменьшить потери в случае их возникновения. Основной целью организационных мер является формирование внутренней политики в области сохранения в секрете конфиденциальных данных, включающей использование необходимых ресурсов и контроль за ними.
Внедрение политики конфиденциальности включает реализацию средств контроля и технических устройств, а также подбор персонала службы внутренней безопасности. Возможны изменения в устройстве IT-системы, поэтому в реализации политики конфиденциальности должны участвовать системные администраторы и программисты. Персонал должен знать, почему проблемы сохранения коммерческой тайны столь важны. Все работники предприятия должны пройти обучение правилам работы с конфиденциальной информацией.
Физические средства защиты
Это различные типы механических и электронно-механических устройств для создания физических препятствий при попытках нарушителей воздействовать на компоненты автоматизированной системы защиты информации. Это также технические устройства охранной сигнализации, связи и внешнего наблюдения. Средства физической безопасности направлены на защиту от стихийных бедствий, пандемий, военных действий и других внезапных происшествий.
Аппаратные средства защиты
Это электронные устройства, интегрированные в блоки автоматизированной системы или спроектированных как независимые устройства, контактирующие с этими блоками. Их задачей является внутренняя защита структурных компонентов ИТ-систем – процессоров, терминалов обслуживания, второстепенных устройств. Реализуется это с помощью метода управления доступом к ресурсам (идентификация, аутентификация, проверка полномочий субъектов системы, регистрация).
Программные методы защиты
Обеспечение сетевой безопасности осуществляется за счет специальных программ, которые защищают информационные ресурсы от несанкционированных действий. Благодаря универсальности, простоте пользования, способности к модифицированию программные способы защиты конфиденциальных данных являются наиболее популярными. Но это делает их уязвимыми элементами информационной системы предприятия. Сегодня создано большое количество антивирусных программ, брандмауэров, средств защиты от атак.
Наиболее распространенные антивирусные ПО, брандмауэры и средства обнаружения атак на современном рынке представлены следующими продуктами:
Путем использования перечисленных категорий программ, подходящим к используемым на предприятии информационным системам, создается комплексное обеспечение сетевой безопасности.
Технические способы защиты информационных данных
Различные электронные устройства и специализированное оборудование, входящие в единый автоматизированный комплекс организации и выполняющие, как самостоятельные, так и комплексные функции сохранения персональных данных. К ним относятся персонализация, авторизация, верификация, ограничение доступа к активам пользователей, шифрование.
Криптографические методы защиты информации
Этот метод основывается на способах кодировки и обеспечивает защиту конфиденциальной информации как с помощью программного обеспечения, так и аппаратными средствами защиты информации. Криптографический способ обеспечивает высокую степень эффективности СИЗ. Ее можно выразить в цифровом эквиваленте: среднее количество операций и время для разгадки ключей и расшифровки данных. Для защиты текстов при передаче используются аппаратные методы кодировки, для обмена информацией между ПК локальной сети используются также программные методики. При сохранении информации на магнитных носителях используются программные методы шифровки. Однако у них есть некоторые недостатки: затраты времени и мощности процессоров для шифрования информации, трудности с расшифровкой, высокие требования к обеспечению секретности ключей (угроза открытых ключей от подмены).
Информация – это важнейшая часть современной действительности. Именно сейчас цифровые данные подвергаются растущему количеству угроз и нежелательных вторжений. DDoS-атаки, сетевой перехват данных, действие вирусного программного обеспечения и другие киберпреступления становятся более изощренными и набирают обороты.
Поэтому следует как можно быстрее реализовать систему защиты информации, которая надежно защитит конфиденциальную корпоративную информацию. Вопрос безопасности информации полностью лежит на плечах руководства организацией. При выборе соответствующих средств для защиты информации следует принять во внимание область деятельности компании, ее размеры, техническое оснащение, а также компетенции персонала в сфере соблюдения режима конфиденциальности.
