- •Курсовая работа по дисциплине «Информационные технологии управления» тема: «Защита информации на предприятии»
- •1. Теоретические основы защиты информации на предприятии
- •1.1 Сущность и задачи защиты информации на предприятии
- •1. Нарушение конфиденциальности информации;
- •2. Нарушение целостности информации;
- •3. Нарушение работоспособности информационно-вычислительных систем.
- •1.2 Меры и методы защиты информации
- •1.3 Основные направления защиты документированной информации
- •2. Построение эффективной системы информационной безопасности
- •2.1 Обеспечение информационной безопасности
- •2.2 Построение системы информационной безопасности
- •2.3 Внедрение системы безопасности информации на предприятии
2. Построение эффективной системы информационной безопасности
2.1 Обеспечение информационной безопасности
Сегодня многие российские компании решают задачи создания системы информационной безопасности (системы ИБ), которая соответствовала бы «лучшим практикам» и стандартам в области ИБ и отвечала современным требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Причем, этот вопрос важен не только для «молодых» компаний, развивающих свой бизнес с использованием современных информационных технологий управления. Не менее, а скорее и более важной эта проблема является для предприятий и организаций, давно работающих на рынке, которые приходят к необходимости модернизировать существующую у них систему ИБ.
С одной стороны, необходимость повышения эффективности системы ИБ связана с обострением проблем защиты информации. Здесь можно упомянуть, во-первых, растущую потребность обеспечения конфиденциальности данных. Российские компании, вслед за своими западными коллегами, приходят к необходимости учитывать так называемые репутационные риски, ответственность по обеспечению конфиденциальности данных своих клиентов, субподрядчиков, партнеров. Вместе с тем, в большинстве российских компаний организационная составляющая системы ИБ проработана слабо. Например, данные как таковые зачастую не классифицированы, то есть компания не имеет четкого представления о том, какие у нее есть типы данных с позиций их конфиденциальности, критичности для бизнеса. А это влечет за собой целый ряд проблем, начиная от сложностей в обосновании адекватности мероприятий по защите информации и заканчивая невозможностью при возникновении инцидента использовать правовые методы их расследования.
Еще одна острая проблема в сфере защиты данных связана с обеспечением непрерывности функционирования информационных систем. Для многих современных компаний, прежде всего, финансовых организаций, производственных холдингов, крупных дистрибьюторов бесперебойная работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему (атаки типа «отказ в обслуживании» и др.).
С другой стороны, в большинстве крупных компаний имеет место унаследованная «лоскутная» автоматизация. Развитие корпоративной информационной системы (ИС) осуществляется довольно хаотично; немногие компании опираются на продуманную ИТ-стратегию или планы развития ИС. Обычно используется политика «латания дыр», новые ИТ-сервисы добавляются без привязки к уже существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы ИБ, мало кто до настоящего времени определял, насколько система ИБ полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно - система ИБ редко бывает обоснованной экономически.
Опыт работы нашей компании свидетельствует, что построение эффективной системы ИБ должно опираться на анализ рисков (в том числе анализ возможного ущерба), который является основой при выборе технических подсистем, их экономическом обосновании. Плюс комплекс организационных мер и создание системы управления ИБ (системы управления информационными рисками). И, наконец, соблюдение выверенных на практике принципов построения системы ИБ, например, принципа «многоэшелонированной» защиты.
Рис. 1. Полный цикл работ по обеспечению информационной безопасности
Таким образом, при построении (модернизации) системы ИБ целесообразно реализовывать цикл работ (рис. 1), включающий обязательный этап диагностического обследования с оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы и ее внедрение.