X Международная студенческая научная конференция Студенческий научный форум - 2018
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НА ПРЕДПРИЯТИЯХ
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF
Тема: Информационная безопасность на предприятиях.
Цель: Выявление проблем обеспечения информационной безопасности на предприятии и предложения их решений.
Задачи:
Рассмотреть уровни обеспечения информационной безопасности и проблемы, возникающие на каждом из них;
Рассмотреть основные источники информационных угроз;
Предложить методы решения проблем.
Актуальность: Проблема защиты информации и обеспечение мер её защиты является актуальной задачей, решение которой достигается путем применения большого комплекса различных мер и вложением крупных денежных средств.
Информационная безопасность имеет дело с двумя видами угроз: внешними и внутренними. И если, в настоящий момент, борьба с внешними угрозами ведётся относительно успешно, то борьба с внутренними угрозами приносит не очень хорошие результаты.
По статистике, 70% всех инцидентов связано именно с внутренними угрозами. Основным и опасным видом внутренней угрозы является утечка информации. Средства защиты от несанкционированного доступа здесь оказывают практически бесполезными, поскольку в качестве основного источника угрозы выступает «инсайдер» - пользователь информационной системы, имеющий вполне легальный доступ к конфиденциальной информации и применяющий весь арсенал доступных ему средств для того, чтобы использовать конфиденциальную информацию в своих интересах. Наиболее распространенные каналы утечки относятся к категории неумышленного раскрытия, по причине неосведомленности или недисциплинированности. Это и банальная «болтовня сотрудников», и отсутствие представлений о правилах работы с конфиденциальными документами, и неумение определить какие документы являются конфиденциальными. Умышленный «слив информации», встречается значительно реже, зато в данном случае информация «сливается» целенаправленно и с наиболее опасными последствиями для организации [5].
1 Уровни обеспечения информационной безопасности
Обеспечение информационной безопасности — очень непростая задача, имеющая несколько уровней:
законодательный,
административный (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
процедурный (меры безопасности, ориентированные на людей);
программно-технический.
1.1 Законодательный уровень
Законодательный уровень включает в себя две группы мер:
меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести главу 28 ("Преступления в сфере компьютерной информации") раздела IX новой редакции Уголовного кодекса. Эта глава охватывает основные угрозы информационным системам, однако обеспечение практической реализуемости соответствующих статей пока остается проблематичным.
Закон "Об информации, информатизации и защите информации" можно причислить к этой же группе. Но, положения этого закона носят общий характер, а основное содержание статей сводится к необходимости использовать исключительно сертифицированные средства.
К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главную роль здесь имеет Федеральное агентство правительственной связи и информации (ФАПСИ) и Государственная техническая комиссия (Гостехкомиссия) при Президенте Российской Федерации.
Проблемы: в числе проблем данного уровня можно выделить две ключевых:
выдвижение правильных законопроектов, основанных на глубоком анализе и полном понимании проблемы;
осуществление контроля за соблюдением действующих законов.[3]
1.2 Административный уровень
Административный уровень подразумевает политику безопасности - совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Проблемы: отсутствие понимания политики информационной безопасности у руководства как таковой. Отсутствие законов, обязывающих её обязательное наличие, отсутствие ведомств, курирующих информационную безопасность и полное отсутствие типовых разработок по ней.
1.3 Процедурный уровень
К процедурному уровню относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.
Проблемы: каждая из вышеперечисленных мер является проблемным местом в данный момент.
Для управления персоналом должны быть изменены должностные инструкции каждого работника, а для этого необходимо разработать квалификационные требования по информационной безопасности. После введение данных инструкций необходимо провести обучение персонала и поддерживать его уровень образованности в этой сфере.
Меры физический защиты теряют свою актуальность каждый год, глобальная миниатюризация и развитие сетевых технологий не стоят на месте, каждый год, а то и чаще изобретаются новые устройства, обнаружение которых иногда является непосильной задачей.
С реагированием на нарушение информационной безопасности тоже не все понятно. Нет четких правил, что нужно делать: заявлять руководству, пытаться остановить самому, обращаться в полицию и т.п. Регламент действий отсутствует.
Восстановительные работы так же под вопросом. Необходимо отрабатывать действия персонала до автоматизма, заранее позаботиться о резервных производственных площадках, переносе информации на них и с них.
1.4 Программно-технический уровень
Огромная доля активности в области информационной безопасности приходится на программно-технический уровень. Согласно современным требованиям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:
идентификация и проверка подлинности (аутентификация) пользователей;
управление доступом;
протоколирование и аудит;
криптография;
(межсетевое) экранирование;
обеспечение высокой доступности.
Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:
опираться на общепринятые стандарты;
быть устойчивыми к сетевым угрозам;
учитывать специфику отдельных сервисов.
В соответствии с действующим в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию — ФАПСИ, межсетевое экранирование является спорной территорией, доступностью не занимается никто.
Проблемы: на сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. В то же время, наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но, в первую очередь, существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств. Поэтому государственная организация не может получить современную информационную систему, защищенную сертифицированными средствами.
Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Но, в силу целого ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия гостайны — "гостайна по совокупности", необходимость получения лицензии на эксплуатацию криптосредств, ограничения на импорт криптосредств) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений перенесен подход, рассчитанный на госструктуры.[2]
2 Основные источники информационных угроз
Все угрозы компьютерной безопасности делятся на 3 основных вида:
человеческий фактор;
технический фактор;
стихийный фактор.
Если со стихийным фактор все более-менее понятно, и обеспечить безопасность информации можно, например, разместив её на удаленных серверах либо используя облачные технологии, то защититься от двух других видов более сложная и трудоемкая задача.
Технический фактор - всевозможные сбои оборудования. Электрические, программные, физическое повреждение накопителей и т.п. Основным способом их предотвращения является аккуратное обращение с техникой и создание резервных копий информации. При этом, в абсолютно любой программе есть багги, которые даже могут быть не заметны в течении длительного времени работы с ней. Но при этом информация может как и портиться, так и "утекать" конкурентам. Такое вредительство может быть как непреднамеренным - недочет разработчика, так и намеренным - человеческий фактор.
Человеческий фактор - вред, причиненный человеком. Защититься от него практически не возможно. Сотрудник может случайно удалить нужные данные или испортить их, может намеренно передать/продать их конкурентам. Попытки решить эти проблемы путем жесткого контроля за компьютером пользователя малоэффективны. Настройка межсетевых экранов, блокирование доступа в интернет, блокирование портов, разделение прав доступа к документам и программа, авторизация, обновление программ не дают 100% результата. Информацию можно сфотографировать, распечатать, продиктовать в телефон, развернуть монитор в сторону окна и показать человеку на улице и т.д. и т.п. И даже установление камер в помещении эту проблему не решает. Так как обычно камера снимает в небольшом разрешении и фотографирующее устройство можно очень легко замаскировать так, что на камере его будет не видно.
Решение данной проблемы нельзя ограничивать только техническими методами, в первую очередь, нужно обеспечить психологическое влияние на сотрудников, например стимулировать их высокой заработной платой и хорошими условиями труда, чтобы они были заинтересованы в сохранении места работы, так как основной способ переманивания инсайдеров конкурентами - денежная стимуляция.
Так же, правильным решением будет указание в договоре служебных обязанностей и случаев возмещения при их несоблюдении.[4]
ВЫВОДЫ
Какой бы продуманной и надежной не была мера обеспечения информационной безопасности, она не будет действенной, если не будет выполняться в комплексе с другими. Только взаимодействие всех уровней обеспечения информационной безопасности сделают ее максимально эффективной.
Для оценки уровня защищенности и степени соответствия существующим уровням безопасности проводят аудит - независимую экспертизу отдельных областей функционирования организации.
Внешний аудит - разовое мероприятие, внутренний - непрерывный контроль деятельности на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации.
Выявленные в ходе аудита нарушения и "узкие" места в безопасности подлежат немедленному устранению.[1]
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Аудит безопасности информационных систем URL: http://www.iso27000.ru/chitalnyi-zai/audit-informacionnoi-bezopasnosti/audit-bezopasnosti-informacionnyh-sistem (Дата обращения: 10.12.2017)
Законодательный, административный, процедурный, программно-технический уровни URL: http://unix1.jinr.ru/faq_guide/sec/jet/sec_map/urovni.html (Дата обращения: 10.12.2017)
Законодательный уровень информационной безопасности URL: http://www.intuit.ru/studies/courses/10/10/lecture/302 (Дата обращения: 10.12.2017)
Источники угроз информационной безопасности URL: http://инфознание.рф/page/istochniki-ugroz-informacionnoj-bezopasnosti (Дата обращения: 10.12.2017)
Эдуард Гордеев, Александр Астахов, «Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации» URL: http://www.globaltrust.ru/shop/osnov.php?idstat=55&idcatstat=13 (Дата обращения: 10.12.2017)