Этапы создания системы информационной безопасности в организации - Студенческий научный форум

XVI Международная студенческая научная конференция Студенческий научный форум - 2024

Этапы создания системы информационной безопасности в организации

 Комментарии
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке "Файлы работы" в формате PDF

На сегодняшний день информационная безопасность является важнейшей сферой интереса организаций. Информация становится все более важной составляющей деловых отношений, складывающихся между субъектами экономической деятельности. В данном направлении обеспечение информационной безопасности в организации полностью аналогично многим другим специализированным областям, значимым для ведения бизнеса в целом.

Эксперты центра ы Security Mentor опубликовали статистику по трендам, показателям, особенностям и другим аспектам информационной безопасности. Ниже будут представлены отдельные результаты аналитических исследований и подсчетов:

- В 2020 году предполагаемый ущерб от киберпреступлений увеличился больше чем на 50% за два года и превысил 1 триллион долларов (The Hidden Costs of Cybercrime, McAfee).

-85% утечек данных происходят из-за «человеческого фактора» (2021 Data Breach Investigations Report, Verizon). По данным ежегодного исследования «СёрчИнформ», в 2021 году 66% инцидентов в ИБ были неумышленными.

-55% ИТ-руководителей ожидают, что сотрудники будут предупреждать их о киберинцидентах. При этом в 89% случаев вовлеченным в инциденты сотрудникам пришлось столкнуться с негативными последствиями этих инцидентов. Только у 54% работников обладают специальными профильными знаниями в области ИБ. (Egress Insider Data Breach Survey 2021) [6].

Предприятия хранят разнообразную информацию, включая конфиденциальные данные о клиентах, партнерах, сотрудниках и прочее. Обеспечивая информационную безопасность, предприятие защищает эти данные от несанкционированного доступа, воровства, утечек и мошенничества. Произошедшие утечки персональных данных в крупных IT-компаниях еще относительно недавно вызывали огромной общественный резонанс. Однако принципиальных изменений в вопросах сбора и хранения информации по клиентам не произошло. В этой связи вопросы обеспечения информационной безопасности не только не теряют своей актуальности, но и становятся все более злободневными, что подтверждается активным ростом количества научных работах посвящённых вопросам информационной безопасности: В этом направлении можно выделить таких авторов как Суханов А.А.,  Семененко, С.В. Петров и др. Эти и другие факторы обуславливают актуальность выбранной темы.

Следует отметить, что на сегодняшний день единого подхода к определению понятия информационной безопасности не сложилось. Подобная ситуация во многом обусловлена относительно новизной этого понятия. Поскольку как уже было отмечено ранее важность обеспечения информационной безопасности была осознанна организациями относительно недавно.

Так А.А. Суханов в своих работах указывал: Информационная безопасность - это широкий и комплексный концепт, который включает в себя не только защиту информации от несанкционированного доступа, но и обеспечение целостности, конфиденциальности и доступности данных [1, c. 25]. Для ученых и исследователей, информационная безопасность является важным аспектом обеспечения конфиденциальности и защиты исследовательской информации. Они считают, что необходимо разрабатывать стратегии защиты данных и применять современные технические средства для защиты информации.

Некоторые ученые и исследователи, среди которых Омельянчук А.В считают, что информационная безопасность является относительным понятием, и ее восприятие может варьироваться в зависимости от контекста. Они считают, что полное обеспечение информационной безопасности невозможно и что попытки достичь абсолютной безопасности могут быть непрактичными и экономически нецелесообразными. Они призывают фокусироваться на управлении рисками и принимать баланс между защитой данных и доступностью исследовательской информации [2, c. 38].

Что касается законодательного подхода к определению соответствующего понятия, то в данном направлении примечателен ФЗ «О безопасности критической информационной структуры РФ» в ст. 2 которого даются определения таким понятием как безопасность критической информационной структуры и непосредственно самому понятию «критическая информационная инфраструктура». Последняя определяется в качестве совокупности информационных систем, информационно-телекоммуникационных систем управления субъектов критической информационной инфраструктуры [5]. В вышеназванном законе также указывается что субъектами критической информационной инфраструктуры помимо государственных органов РФ также являются и юридические лица РФ. Другими словами, данный закон напрямую распространяется на предприятия.

Построение системы информационной безопасности в организации является крайне сложным и многоаспектным процессом, имеющим собственную структуру. Так можно выделить следующие основные этапы создания системы информационной безопасности в организации:

Определение целей. Если не учитывать то, что общей целью создания любой системы информационной безопасности является защита внутренних данных организации от их пропажи или утери, то в каждой конкретной организации необходимо выявить основные уязвимые места, негативно сказывающиеся на бизнес процессах компании.

Определение целей сильно перекликается с анализом основных источников проблем.  На этом этапе создания системы информационной безопасности исследуются такие базовые для информационной безопасности понятия как злоумышленники, угрозы и уязвимости.  В рамках анализа основных рисков для организации представляется важным построение общей модели злоумышленника. В этом аспекте важно оценивать их мотивированность при реализации угроз. Следует отметить, что на данном этапе злоумышленник должен рассматриваться не как абстрактный внешний хакер, а как самостоятельная сторона, прямо заинтересованная в нарушении информационной безопасности компании и завладении ее активами.

Следующим этапом следует считать построение модели угроз. Данный этап неизбежно связан с проведением инвентаризации информационных активов. Сама по себе информация не обрабатывается без наличия специальной информационной инфраструктуры, автоматизирующей бизнес-процессы организации. Наиболее уязвимыми местами бывают каналы связи элементов такой информационной инфраструктуры. В качестве упрощённого примера здесь можно привести хранение важных данных по клиентам на внутреннем облачном хранилище, доступ к которому есть только у сотрудников компании через их личные кабинеты. В такой ситуации важно уделять особое внимание передачи аккаунтов от бывших сотрудников к новым. На сегодняшний день ряд компаний упускают из виду такую находящуюся на поверхности уязвимость.

Также в рамках анализа потенциальных угроз для информационной безопасности представляется необходимым ранжировать угрозы по разным критериям: от вероятности возникновения, до степени необратимости последствий. В общем виде можно выделить следующие самые распространенные виды уязвимостей с системе информационной безопасности:

Уязвимости веб-приложений: такие уязвимости, как инъекции SQL, кросс-сайтовый скриптинг (XSS), отказ в обслуживании (DoS), уязвимости аутентификации и авторизации.

Недостатки в защите приложений: отсутствие проверки и фильтрации входных данных, неправильное хранение паролей и конфиденциальных данных, несанкционированный доступ к функциям администрирования, уязвимости, связанные с использованием сторонних компонентов и библиотек.

Уязвимости операционных систем: недостатки в защите сетевых протоколов, отсутствие обновлений и патчей для исправления известных уязвимостей, слабые настройки безопасности, открытые порты и сервисы.

Уязвимости сетевой инфраструктуры: уязвимости возникают при недостаточно безопасной конфигурации маршрутизаторов, коммутаторов, файрволов и других сетевых устройств. Например, недостаточная аутентификация, нештатные возможности конфигурации, уязвимости протоколов маршрутизации.

Социальная инженерия: атаки, которые используют манипуляцию и обман людей для получения доступа к системам или информации. Например, рассылка фишинговых электронных писем, обман по телефону или получение конфиденциальной информации через социальные сети.

Физические уязвимости: такие уязвимости могут быть связаны с несанкционированным доступом к серверам или компьютерам, физическая кража оборудования или утеря носителей данных [3, c.18].

Уязвимости мобильных приложений: отсутствие обновлений и патчей, недостатки в защите персональных данных, несанкционированный доступ к функциям устройства, некорректное использование разрешений.

Важно понимать, что уязвимости в информационной безопасности постоянно изменяются и эта список не исчерпывающий. Постоянное обновление и обучение в области информационной безопасности необходимо для эффективной защиты. Создание систем информационной безопасности предприятия -длительная, затратная и сложная работа, требующая специальных знаний и навыков, материальных средств и подготовленных специалистов. В эти условиях неизбежно возрастает значение аутсорсинга информационной системы как при проектировании и вводе в эксплуатацию средств и систем защиты информации, так и на этапе ее сопровождения, в том числе с использованием современных средств

Список литературы

1. Суханов А.А Анализ рисков в управлении информационной безопасностью // Байт. 2008. № 11. С. 25-29.

2. Омельянчук А.В Анализ угроз при проектировании систем технических средств охраны // Технологии защиты. 2008. №3. С. 37-41.

3. Емельянников М. Информационные системы персонаьных данных //Журнал «Cio». 2008. № 10. С. 17-20.

4. Раувайкин В. Что делать с персональными данными? // Инсайд. 2008. № 3.С. 45-49.

5. Федеральный закон от 26.07.2017 N 187-ФЗ (ред. от 10.07.2023) "О безопасности критической информационной инфраструктуры Российской Федерации" Интернет источник Консультант Плюс (дата посещения 11.11.2023)

6. https://habr.com/ru/companies/searchinform/articles/700500/

Просмотров работы: 26