Вопрос 2: Создание и функционирование системы защиты информации
Основным вопросом в плане обеспечения информационной безопасности является защита автоматизированной системы управления, которая осуществляется за счет применения программных и технических средств.
Процесс создания системы защиты информации можно разделить на три этапа:
формирование политики организации в области информационной безопасности;
выбор и внедрение технических и программных средств защиты;
разработка и проведение ряда организационных мероприятий.
Алгоритм создания системы защиты конфиденциальной информации таков:
Определение объектов защиты.
Выявление угроз и оценка их вероятности.
Оценка возможного ущерба.
Обзор применяемых мер защиты, определение их недостаточности.
Определение адекватных мер защиты.
Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
Внедрение мер защиты.
Контроль.
Сложность решения задачи защиты информации обусловлена:
большим количеством пользователей, которые находятся в нескольких подразделениях
строительством работы на взаимодействии целого ряда программных и аппаратных компонентов
С точки зрения применения технических и программных средств защиту информации в системе управления можно разбить на три направления:
защита содержания данных (применяют шифрование и электронную цифровую подпись),
обеспечение сохранности информации при форс-мажорных обстоятельствах (сбои в электропитании, пожары и т.д.) – применяют средства резервного копирования и стандартные средства и меры.
устранение возможности для несанкционированного доступа к ресурсам системы (это наиболее сложная задача) – применяются регламентированный доступ к конкретным рабочим местам пользователей и их функциональным обязанностям, идентификация пользователей (пароли, электронные ключи, смарт-карты, биометрические технологии), разделение их полномочий и др.
Организационные мероприятия, связанные с защитой информации и автоматизированной системы управления, обычно включают в себя:
разработку инструкций и регламентов для сотрудников;
организацию охраны помещений и разработку пропускного режима;
ограничение доступа в помещения, где размещены серверы автоматизированной системы управления;
хранение носителей информации и бумажной документации в сейфах или других защищенных местах;
установку мониторов компьютеров, клавиатуры, принтеров таким образом, чтобы исключить возможность просмотра или копирования информации посторонними лицами;
ликвидацию ненужных носителей информации и документов;
уничтожение всей информации на жестких дисках, где были установлены компоненты системы, перед их отправкой в ремонт;
проведение регулярных проверок по соблюдению всех правил, положений и инструкций, связанных с обеспечением информационной безопасности.
Для минимизации рисков, связанных с несанкционированным доступом в организацию или в её отдельные подразделения, может использоваться метод создания рубежей защиты.
Пример организации рубежей защиты приведен на рисунке:
Рисунок - Типовые рубежи защиты (источник: EPAM Systems)
Главный результат создания надежной системы защиты информации заключается в отсутствии потерь. К числу наиболее неприятных последствий относятся прямые финансовые убытки, удар по репутации, потерю клиентов, снижение конкурентоспособности. Тем самым обеспечение информационной безопасности организации имеет вполне конкретный экономический смысл.
Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации.
Разработка системы защиты позволяет комплексно подойти к решению вопросов информационной безопасности предприятия. За счет применения программных и аппаратных средств, выполнения организационных мероприятий обеспечивается сохранность данных, которые обрабатываются в автоматизированной системе управления, и минимизируются риски потери информации.