«Структура системы защиты информации коммерческого предприятия»

Содержание:

ВВЕДЕНИЕ

Развитие в обществе рыночных отношений сопровождается нарастанием конкуренции между производителями товаров и услуг. Желание преуспеть быстрее соперников приводит к стремлению заполучить как можно больше конфиденциальной информации о применяемых ими технологиях, причем для добывания информации используются различные методы, затрагивающие сферу информационной безопасности.

К настоящему времени сложилась достаточно чётко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности.

Информационная безопасность предприятия/организации - тема актуальная, как свидетельствует реальность, злоумышленные действия над информацией имеют объективную тенденцию к росту. Таким образом, осознавая существующую, довольно серьезную, проблему, необходимо принимать меры по защите конфиденциальной информации. В особенности это касается руководителей и служб безопасности предприятий.

Предпринимательская деятельность включает в себя получение, накопление, хранение, обработку и использование разнообразных информационных потоков. И та информация, которая представляет ценность для данной организации, но должна быть скрыта от посторонних, подлежит защите. То есть, должны быть решены следующие задачи:

- обеспечение целостности данных (не модифицируемость) - понятие, определяющее сохранность качества информации и ее свойств;

- конфиденциальность (не раскрываемость) - предполагает обеспечение секретности данных и доступа к определенной информации отдельным пользователям;

- доступность - качество информации, определяющее ее быстрое и точное нахождение конкретными пользователями.

Причиной многих проблем с безопасностью информации, которые испытывают предприятия, может быть то, что они не понимают важности угроз, оборачивающихся в банкротство и несостоятельность. К такому исходу может привести утечка информации даже на 20%. В большей степени это происходит в управленческих организациях, страховых предприятиях и банках.

Потеря или искажение информации может произойти как из-за неквалифицированных работников, так и из-за отсутствия соответствующей системы защиты. Защите подлежит не вся информация, а только та, которая представляет наибольшую ценность для предпринимателя. Защита информации на предприятии — это совокупность мер, обеспечивающих безопасность важных документов, данных сотрудников и клиентов, тайн и другой конфиденциальной информации. Такая система обеспечения информационной безопасности должна использоваться в каждой организации.

Чтобы создать систему защиты информации, нужно учитывать способы возникновения, форму и природу возможных угроз. Они являются следствием ситуаций, в которых проявляются слабые стороны организации. Чтобы выявить все угрозы, необходимо провести анализ за все время ведения бизнеса и изучить результаты, которые позволят обнаружить некоторые слабости и недоработки, способные создать негативную ситуацию. Самым обязательным пунктом при этом анализе является ведение журнала всех произошедших событий и переоценка рисков. Тогда можно достаточно точно определить угрозу, на которую следует обратить больше внимания. Характеристики угроз определяют также некоторые состояния организации, которые могут вызвать убытки всей компании в целом или ее подразделений.

Цель настоящей работы – определить назначение и изучить структуру системы защиты информации предприятия/организации. Для этого будут решены следующие задачи:

- представлена сущность информационной безопасности коммерческого предприятия;

- представлен пример анализа и обеспечения информационной безопасности предприятия/организации;

- представлена оценка угроз информационной безопасности;

- рассмотрены методы и средства защиты от угроз безопасности и структура комплексной системы защиты информации на предприятии.

Объект исследования - информационная безопасность предприятия/организации.

Предмет исследования – структура и назначение информационной безопасности предприятия/организации.

Для выполнения поставленных задач были изучены материалы научных статей, учебных пособий, научно-популярные публикации в сети Интернет.

1. Сущность безопасности коммерческого предприятия

Технологические, производственные и коммерческие данные, которые используют предприятия, обладают высокой стоимостью, а их утрата или утечка может привести к серьезным финансовым потерям.

Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям, поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития ИТ.

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач^[1].

Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки, хранения и передачи данных и, прежде всего, вычислительных систем.

Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ.

Защита информации:

Безопасность информации — состояние защищённости информации, обрабатываемой средствами вычислительной техники от внутренних и внешних угроз.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность^[2]:

- целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

- конфиденциальность информации;

- доступность информации для всех авторизованных пользователей.

Каждое предприятие оснащено компьютерной техникой и доступом к всемирной паутине Интернет. Злоумышленники умело подключаются практически к каждой составной этой системы и, с помощью многочисленного арсенала (вирусы, вредоносное ПО, подбор паролей и другое), воруют ценную информацию. Система информационной безопасности должна внедряться в каждую организацию. Руководителям необходимо собрать, проанализировать и классифицировать все виды информации, которая нуждается в защите, и использовать надлежащую систему обеспечения безопасности. Но и этого будет мало, потому что, кроме техники, существует еще и человеческий фактор.

Важно правильно организовать защиту своего предприятия на всех уровнях. Для этих целей используется система менеджмента информационной безопасности, с помощью которой руководитель наладит непрерывный процесс мониторинга бизнеса и обеспечит высокий уровень безопасности своих данных^[3].

Но, к сожалению, далеко не все руководители считают необходимым защищать свои предприятия, мотивируя свое решение отсутствием важной информации в своем бизнесе. Это неправильно.

Особенности защиты информации на промышленных предприятиях^[4]:

Подходы к выстраиванию комплексной системы информационной безопасности критически важных производственных предприятий, нуждающихся в обеспечении целостности, доступности и конфиденциальности информации, имеющих свои особенности и специфику, которые должны быть учтены еще на этапе построения концепции защиты.

Основными характеристиками, значимыми для процесса управления информационными системами предприятия являются: степень распределенности информационной системы, класс реализуемых в информационной системе технологических операций, режим работы информационной системы.

По степени распределенности информационные системы делят на локальные и распределенные. Распределенные системы широко распространены и более сложны для управления, поэтому если системы обеспечения информационной безопасности могут управлять распределенными информационными системами, то это делает ее лучше по сравнению с другими системами.

По классу реализуемых технологических операций информационные системы делят на системы с текстовыми редакторами, системы с табличными редакторами, СУБД, системы управления базами знаний, системы с графикой, мультимедиа, гипертекстом. Присутствие той или иной технологической операции в информационной системе предприятия обусловлено производственной необходимостью. Поэтому чем большее количество технологических операций может контролировать система обеспечения информационной безопасности, тем более гибкой и более предпочтительной она является.

По режимам работы информационные системы делят на пакетные и диалоговые. Диалоговые информационные системы являются более распространенными, чем пакетные, так что более предпочтительным для системы обеспечения информационной безопасности является возможность управления диалоговыми информационными системами. Однако существуют информационные системы, способные функционировать как в диалоговом, так и в пакетном режиме работы.

Таким образом, лучшей является система безопасности, способная управлять смешанным режимом работы информационной системы.

Основными характеристиками, влияющими на процесс обеспечения информационной безопасности, являются цели реализации атак и объекты, на которые эти атаки направлены^[5].

Обычно комплексы обеспечения безопасности информационных систем предприятий состоят из следующих подсистем: подсистема управления доступом; подсистема регистрации и учета; подсистема обеспечения целостности; криптографическая подсистема.

Система обеспечения информационной безопасности, способная управлять всеми выделенными подсистемами является наилучшей.

Попробуем рассмотреть основные моменты снижения рисков и борьбы с угрозами в инфраструктуре промышленных предприятий. Обеспечение комплексной безопасности инфраструктуры промышленного предприятия имеет свою специфику.

Упрощенная схема взаимосвязей в рамках функционирования промышленной системы приведена на Рисунке 1.1.

Рисунок 1.1 – Упрощенная схема взаимосвязей в рамках функционирования промышленной системы

Если мы имеем дело с десятками промышленных цехов, распределенных на территории в несколько десятков квадратных километров, то для доступа к корпоративным ресурсам могут потребоваться беспроводные точки подключения (Wi-Fi), которые также нужно контролировать. Если разнородные централизованные информационные системы концентрируются в едином дата-центре, через который идут все потоки информации, то может потребоваться реализация единой системы управления учетными данными пользователей (системы класса IDM)^[6].

Если же речь идет об обеспечении безопасного мобильного доступа к информационным ресурсам предприятия, то для этого могут быть использованы распространенные сейчас MDM-системы, позволяющие управлять мобильными устройствами. Например, состоящее из MDM-системы и подсистемы SSL VPN для защищенного доступа к внутренним ИТ-ресурсам предприятия.

Но в целом, комплексный подход к защите информации на промышленном предприятии примерно тот же, что и на любом другом территориально распределенном предприятии. В отличие от банков или сотовых операторов, где отраслевые требования к информационной безопасности задаются внешним регулятором, в промышленности их определяет собственник холдинга или совет директоров, который может определить ту или иную парадигму защиты, четко учитывающую основные риски и угрозы.

Процесс обеспечения информационной безопасности должен быть непрерывным. Оценки состояния объекта, которые возвращает система, должны периодически актуализироваться, т.е. пересчитываться. Для систем обеспечения информационной безопасности основной оценкой состояния информационной системы предприятия являются информационные риски, которым она подвержена. Данные оценки должны постоянно пересчитываться.

2. Анализ и обеспечение информационной безопасности

В современном мире перед предприятиями и организациями стоит очень важная задача сохранения материальных ценностей и информации, в том числе коммерческой или государственной тайны. Для решения данной задачи на предприятии должна быть обеспечена информационная безопасность, цель которой – минимизация ущерба вследствие нарушения требований целостности, конфиденциальности и доступности^[7].

Представим небольшое коммерческое предприятие-организацию по производству товаров-услуг. Допустим, что в данной организации используется, как наиболее распространенная и практичная для подобных малых предприятий, топология звезда. В этом случае каждый компьютер подключается отдельным кабелем к общему устройству, называемому коммутатором (концентратором, хабом) который находится в центре сети. В функции коммутатора входит направление передаваемой компьютером информации одному или всем остальным компьютерам сети. В данной локальной сети представим: 10 компьютеров, 3 принтера, 1 телефонный аппарат.

Каждый из компьютеров связан между собой по одной сети, то есть от каждого компьютера имеется возможность получить доступ к информации на другом компьютере. Также, каждая из машин имеет выход в интернет.

Для обеспечения нормальной работы организации необходимо оценить вероятные угрозы безопасности, характерные непосредственно для данной организации. Согласно структуре организации можно выделить следующие угрозы безопасности (Рис. 2.1).

Рисунок 2.1 – Угрозы безопасности

Перечень угроз:

1. Как было написано ранее, каждый персональный компьютер имеет выход в глобальную информационную сеть Интернет, которая в свою очередь, является основным источником распространения вредоносных программ. Данное ПО может попасть во внутреннюю сеть организации следующим образом:

- при посещении сайта, который содержит вредоносный код;

- при скачивании с сайтов ПО;

- при скачивании через peer-to-peer сеть (торренты).

Также, в данную угрозу можно отнести почтовые сообщения, которые поступают на электронный почтовый ящик сотрудников организации. Вредоносные программы могут находиться во вложении письма или в сама теле письма.

2. Также, основываясь на описании процессов деятельности организации, необходимо обратить внимание на то, что для передачи информации между заказчиком и организацией используются съёмные носители. То есть, запуская какой-либо файл, расположенный на съёмном носителе, может возникнуть угроза заражения всех компьютеров, расположенных в одной сети с тем, на котором было открыто съёмное устройство.

3. Ещё одной угрозой могут быть уязвимости в программном обеспечении нашей организации, которые могут послужить причиной распространения угроз со съёмных носителей или вредоносного технического оборудования.

4. Также, при данной структуре организации возникает угроза попадания вредоносных данных в глобальную сеть интернет, что является большой проблемой в современном мире.

Для обеспечения безопасности организации, необходимо рассмотреть варианты предотвращения появления угроз безопасности, рассмотренных выше.

Internet – одна из неотъемлемых частей нашей жизни. Использование Интернета предоставляет множество преимуществ, но тут есть и «подводные камни». Огромной угрозе подвергается предприятие при использовании всемирное паутины. Стоит защищать программное обеспечение дополнительными модулями для предотвращения вторжения, атаки, утечки информации^[8].

Иногда возникает ситуация, когда какая-то программа пытается самостоятельно выйти в интернет. Если это известная программа, например, почта или мессенджер, тогда, возможно, всё нормально, а вот если это неизвестная никому программа, тогда скорее всего это «троян». Но в любом случае, попытка любой программы выйти в интернет без ведома пользователя должна быть проверена. Именно во избежание соединения с такими программа необходимо отслеживать все подозрительные соединения.

Также, существует угроза атаки компьютеров через открытые порты, поэтому необходимо блокировать все порты, ненужные для работы, анализировать трафик, идущий через открытые порты. Необходимо отслеживать работу программ, которые запускаются в первый раз, и при каждом их запуске проверять, не изменилась ли программа после последнего запуска.

Для обеспечения безопасности работы в сети Интернет необходимо установить программный комплекс firewall (брандмауэр), который обеспечивает повышение степени безопасности работы в сети и отображение многих атак на компьютере за счёт фильтрации информационного трафика.

Так как, в организации будут использоваться съёмные носители с программным обеспечением и аппаратные средства, взаимодействующие с внешней организацией (с заказчиком), то они могут быть причиной серьёзных нарушений работы всей внутренней сети организации. Поэтому, необходимо разделить локальную сеть организации на две подсети.

Первая подсеть будет обеспечивать работу 8 компьютеров, 2 принтеров и телефонного аппарата, на которых будет происходить основная работа организации: приёмная, другие отделы. А другая подсеть будет содержать два компьютера и принтер, на которые и будет приходиться работа со съемными носителями и аппаратными средствами, взаимодействующими с внешней организацией (с заказчиком).

И первая и вторая сети будут иметь доступ в Интернет, но, каждая из подсетей будет разграничена двумя роутерами, чтобы исключить любую возможность из взаимодействия.

Первая подсеть будет оснащена всеми средствами защиты, указанными выше, так как будет являться основной рабочей сетью всей организации. В ней на каждом компьютере будет установлено антивирусное программное обеспечение. Оно должно обеспечивать анализ системы на наличие вредоносного ПО в режиме реального времени, а также, производить полную проверку всей системы по требованию. Антивирусное ПО должно регулярно обновляться для обеспечения наибольшей надёжности, причём данное программное обеспечение должно обновляться централизованно с локального репозитория. Так как данная подсеть наиболее уязвима от угроз извне, то наибольшее внимание необходимо уделять предотвращению атак именно из Интернета. А распространение угроз внутри сети менее вероятна, поэтому фильтрация трафика внутри сети может производится с минимальными требованиями.

Вторая же подсеть наиболее уязвима. Причём угрозы исходят как внутри сети, так и возможны атаки извне, а также, возможно распространение угроз в сеть Интернет из нашей сети. Поэтому организации безопасности второй подсети необходимо уделить особое внимание. На каждом из двух компьютеров (в данном варианте) необходимо установить брандмауэр, который будет контролировать сетевой трафик в сеть извне, контролировать порты и проверять доступ других компьютерных программ. Также, необходимо установить антивирусные программные средства. Только в данном случае на каждой машине это будет независимая программа, и централизованного управления этой сетью быть не должно. Чтобы при выведении из строя одной машины, можно было без потерь работать с другой. В данном случае антивирусное ПО должно производить регулярные проверки системы, а также постоянные проверки внешних съёмных носителей, которые будут подключаться к сети.

Именно ко второй подсети будут подключаться съёмные носители (аппаратные средства), поступающие с данными извне сети рассматриваемой организации.

После проверки носителей и аппаратных средств, убедившись, что они не представляют никакой угрозы для сети нашей организации, можно подключать их в первую подсеть.

Для предотвращения уязвимостей программных и технических средств, обеспечивающих защиту организации, необходимо обеспечить своевременное обновление программно-технический комплексов, а при выведении из строя какого-либо компонента сети, необходимо обеспечить немедленную замену.

Также, необходимо не допустить попадания вредоносных программ в глобальную сеть интернет. Для этого также будет использоваться брандмауэр и антивирусное программное обеспечение. Необходимо уделить особое внимание фильтрации трафика, который попадает в глобальную сеть от компьютеров, расположенных во второй локальной сети.

Таким образом, логическую структуру организации можно представить следующим образом (Рис. 2.2).

Рисунок 2.2 – Модифицированная логическая структура организации

3. Оценка угроз информационной безопасности. Методы и средства защиты от угроз безопасности

Угроза (действие) - это возможная опасность совершения какого-либо деяния, направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации. Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности^[9].

- Обусловленные действиями субъекта (антропогенные источники) – субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры:

- Обусловленные техническими средствами (техногенные источники) – эти источники угроз менее прогнозируемы и напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

- Стихийные источники – данная группа объединяет обстоятельства, составляющие непреодолимую силу, такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы.

В соответствие с методикой определения актуальных угроз безопасности^[10] рассмотрим следующие угрозы (Таблица 3.1 – Приложение 1).

Вероятность возникновения угрозы может быть:

- маловероятная угроза;

- низкая вероятность угрозы;

- средняя вероятность угрозы;

- высокая вероятность угрозы.

При оценке опасности определяется вербальный показатель опасности:

- низкая опасность;

- средняя опасность;

- высокая опасность.

Методы и средства защиты от угроз безопасности:

Разглашение информации – несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации.

Под информационной безопасностью понимают защищенность информации от незаконного ознакомления в первую очередь, а также преобразования и уничтожения. Природа воздействий, направленных на нарушение безопасности может быть самой разнообразной^[11].

Факторы, способствующие разглашению защищаемой информации лицами, имеющими к ней право доступа и методы для предупреждения и борьбы с ними:

1. Ответственность за разглашение (подписка о неразглашении).

2. Контрольно-пропускной режим:

Это комплекс организационно-правовых ограничений и правил, устанавливающих порядок пропуска через контрольно-пропускные пункты в отдельные здания (помещения) сотрудников объекта, посетителей, транспорта и материальных средств. Контрольно-пропускной режим является одним из ключевых моментов в организации системы безопасности на предприятии.

Контрольно-пропускной режим вводится для того, чтобы исключить:

• проникновение посторонних лиц на охраняемые (режимные) объекты, в административные здания, а также в режимные помещения;

• посещение режимных помещений без служебной необходимости должностными лицами организации;

• внос (ввоз) в административные здания и на объекты личных визуальных средств наблюдения, кино-, видео- и фотоаппаратуры, радиотехнической и другой аппаратуры;

• контроль за использованием мобильного телефона;

На территории предприятия нельзя пользоваться незарегистрированным мобильным телефоном. Если же телефон зарегистрирован, то нельзя пользоваться фото-видео съемками, выходом в Интернет.

• вынос (вывоз) из административных зданий и объектов документов и вещей без соответствующего разрешения.

3. Контроль за подключением к Интернету.

Доступом в Интернет обладает отдельно стоящий компьютер, который не работает в локальной сети.

4. Запрет на использование незарегистрированных носителей.

Сегодня, действующие нормативные правовые акты не предусматривают эффективную защиту конфиденциальной информации предприятия, а, следовательно, только комплекс мер (контрольно-пропускной режим, запрет на использование зарегистрированных носителей, подписка о неразглашении) способен обеспечить полноценную защиту организации от разглашения и снизить риск возникновения подобной ситуации^[12].

Для того чтобы защититься от неправомерных действий со стороны лиц, имеющих право доступа к информации, рассмотрим типичные ошибки, которые допускает руководство на промышленных предприятиях.

Например, согласно исследованию Мельниковой Е.И.^[13], в котором приняло участие более 40 предприятий:

• на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео - и фотосъемочной аппаратуры;

• на 55% предприятий не предусмотрены программы для восстановления данных;

• в 33,5% случаев отсутствует контроль за действиями пользователей.

Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала^[14].

Итак, в деле защиты конфиденциальной информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отношению к указанным угрозам.

Исходя из вышеперечисленного, можно сделать вывод, что необходимо внедрять целый комплекс методов и средств защиты от неправомерных действий со стороны лиц, имеющих право доступа к информации, так как вероятность каждой отдельной угрозы очень велика, а исключить все сразу можно лишь используя весь комплекс методов и средств, а именно:

1. Контрольно-пропускной режим.

2. Ведение журналов регистрации действий пользователей.

Необходимо осуществлять контроль за действиями пользователей. Собирать и хранить информацию обо всех событиях, которые происходят в системе.

3. Осуществление резервного копирования.

Резервное копирование — процесс создания копии данных на носителе (жёстком диске, дискете и т. д.), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

Для того, чтобы защититься от несанкционированного доступа к информации необходимо использовать алгоритмы защиты информации (прежде всего шифрования). Их можно реализовать как программными, так и аппаратными средствами^[15].

Согласно сравнительному анализу средств шифрования, представленному в Таблице 3.2 (Приложение 1), видно, что для промышленного производства целесообразнее использовать аппаратный вариант защиты от несанкционированного доступа к информации.

Аппаратный шифратор представляет co6oй компьютерное «железо», чаще всего это плата расширения, вставляемая в разъем ISA или PCI системной платы ПK, или USB-ключ с криптографическими функциями.

Рассмотрим подробнее методы работы шифратора для защиты от несанкционированного доступа:

• Распределение прав доступа.

При распределении прав доступа выясняются функции, которые должны исполнять те или иные группы пользователей. Исходя из этого, определяются данные, к которым пользователи различных групп будут иметь доступ.

• Защита от вредоносных программ.

• Системы идентификации и аутентификации.

Присвоение субъектам и объектам доступа личного идентификатора и сравнение его с заданным перечнем называется идентификацией. Идентификация обеспечивает выполнение следующих функций:

- установление подлинности и определение полномочий субъекта при его допуске в систему;

- контролирование установленных полномочий в процессе сеанса работы;

- регистрация действий и др.

Аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

4. Структура комплексной системы защиты информации на предприятии

Для решения задач защиты информации на предприятии создаётся комплексная система защиты информации (КСЗИ), которая должна снизить потенциальные риски. При этом немаловажно знать, что нужно защищать. Это позволит оценить потенциальные пути проникновения «противника», и выявить наиболее уязвимые места в организации^[16].

Задачи и функции. Принципы организации и этапы разработки комплексной системы ЗИ на предприятии КСЗИ предприятия – это совокупность методов и средств, имеющих перед собой такую важную цель, как обеспечение необходимой эффективной защиты информации (ЗИ) на предприятии^[17].

Защищаемыми объектами информатизации являются:

- средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

- технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

- защищаемые помещения.

Так же КСЗИ направлено на:

- защиту легитимных интересов предприятия от незаконных посягательств;

- обеспечение безопасности жизни и здоровья персонала;

- недопущение хищения или(и) уничтожения финансовых или материальных ценностей, разглашения утечки и несанкционированного доступа (НСД) к служебной информации, нарушения работы технических средств, обеспечение производственной деятельности, включая производственные технологии.

К основным задачам КСЗИ относятся:

- прогнозирование, своевременное выявление и ликвидация угроз безопасности персоналу и ресурсам предприятия, причин и условий, способствующих нанесению различных видов ущерба, нарушение его нормального функционирования и развития;

- отнесение информации к категориям ограниченного доступа;

- формирование механизма и условий быстрого реагирования на угрозы безопасности функционированию организации;

- эффективное пресечение угроз работникам и посягательств на ресурсы в основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

- ослабление отрицательного воздействия последствий нарушения безопасности предприятия;

К принципам обеспечения безопасности в организации относятся^[18]:

- системность;

- комплексность;

- своевременность;

- непрерывная защита;

- разумная достаточность;

- простота;

- гибкость;

- специализация;

- взаимодействие;

- координация;

- планирование и усовершенствование таких аспектов как централизация и управление, экономическая эффективность и простота применяемых мер защиты.

При формировании системы защиты необходимо учитывать все слабые и наиболее уязвимые места предприятия, а также потенциальные направления атак на КСЗИ со стороны противоборствующей организации или отдельных лиц, пути проникновения и НСД к информации.

Система защиты обязана строиться, с учетом не только всех известных каналов проникновения и НСД к информации, но и не упуская из виду возможность появления принципиально новых путей реализации угроз безопасности^[19].

Методологические основы организации КСЗИ:

На начальных этапах создания КСЗИ не надо забывать о том, что информацию следует защищать во всех видах её существования (бумажные и электронные носители, сотрудники). В обязательном порядке необходимо принимать меры от утечки информации по техническим каналам, причем защищать информацию требуется не только от НСД к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи, воздействия на персонал, при этом должны быть обеспечены конфиденциальность, целостность и доступность информации. Выделяются 3 направления при создании КСЗИ:

1. Методическое (в рамках которого создаются методологические компоненты КСЗИ, разрабатывается замысел его построения, прорабатываются правовые вопросы).

2. Организационное (в ходе которого разрабатываются распорядительные документы, проводится обучение и инструктаж персонала).

3. Техническое (заключающееся в выборе, закупке и инсталляции программных, программно-аппаратных и аппаратных средств ЗИ).

Чтобы обеспечить должную безопасность информации требуется создание развитого методологического аппарата, позволяющего решить следующие задачи^[20]:

1. Сформировать систему органов, ответственных за безопасность информации.

2. Подготовить теоретико-методологические основы обеспечения безопасности информации.

3. Решить проблему управления ЗИ и её автоматизации.

4. Сформировать нормативно-правовую базу, описывающую решение всех задач обеспечения безопасности информации.

5. Организовать подготовку специалистов по ЗИ.

6. Подготовить нормативно-методологическую базу для проведения работ по обеспечению безопасности информации.

Требуется внимательно проработать правовые вопросы обеспечения безопасности информации, необходимо изучить всю совокупность законодательных актов, нормативно-правовых документов, требования которых обязательны в рамках сферы деятельности по ЗИ^[21].

Предметом правового регулирования являются правовой режим информации, правовой статус участников информационного взаимодействия и порядок отношения субъектов с учётом их правового статуса.

Организационное обеспечение подразумевает под собой регламентацию взаимоотношений исполнителей на нормативно-правовой основе так, что разглашение, утечка и НСД к информации становится невозможными или будут существенно затруднены за счёт проведения организационных мероприятий^[22]. В процесс организационного обеспечения входит подбор сотрудников службы безопасности, оборудование служебных помещений, создание и должное функционирование режимно-пропускной службы, организация хранения документов, системы делопроизводства, эксплуатация технических средств и создание охраняемых зон.

К техническому направлению работ относятся выбор, приобретение и установка средств ЗИ. Для планирования инженерно-технического обеспечения КСЗИ нужно руководствоваться следующими аспектами:

1. анализ объектов и ресурсов, подлежащих защите;

2. выявление способов НСД и потенциальных каналов утечки информации;

3. составление модели угроз и способов их реализации;

4. выбор защитных мероприятий;

5. анализ риска в результате проведения незаконных действий со стороны посторонних лиц;

6. формулирование политики безопасности;

7. составление плана инженерно-технических мероприятий ЗИ;

8. оценка эффективности принятых решений

В рамках методического направления создания КСЗИ должна быть разработана политика безопасности предприятия^[23]. Мероприятия по созданию КСЗИ, реализуемые вне единого комплекса мер в рамках концепции политики безопасности – бесперспективны, с точки зрения ожидания отдачи по решению проблем безопасности.

Разработка политики безопасности предприятия:

Планирование обеспечения безопасности заключается в создании политики безопасности^[24]. В первую очередь требуется произвести экспертизу информационных процессов предприятия, выявить критически важную информацию, которая подлежит защите. В некоторых случаях к этому делу подходят односторонне, думая, что ЗИ содержит в себе лишь обеспечение конфиденциальности информации, но забывая о том, что очень важно обеспечить защиту от подделки, модификации, в том числе парировать угрозы нарушения работоспособности системы. Исследование информационных процессов должно заканчиваться определением перечня конфиденциальной информации предприятия, помещений, где эта информация обрабатывается, допущенных к ней сотрудников, а также возможные последствия утраты или искажения информации. В итоге становится понятно, что, где и от кого защищать, ведь, как показывает действительность, нарушителями могут являться и сами сотрудники предприятия^[25].

Анализ рисков, проведённых на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки^[26].

В политике безопасности нет необходимости детально описывать должностные обязанности сотрудников. Они должны разрабатываться на основе политики, но не внутри неё.

Особое внимание в политике безопасности должно уделяться вопросам обеспечения безопасности при её обработке в АС. Необходимо установить, как должны быть защищены серверы, маршрутизаторы, должен быть разработан порядок использования сменных носителей информации, в том числе их маркировки, хранения, порядок внесения изменений в список ПО^[27].

Внедрение любой защиты приводит к определённым неудобствам пользователей, однако эти неудобства не должны быть ощутимы, в противном случае человек будет игнорировать существующие правила. Особое внимание требуется уделить подключению своих информационных ресурсов к сети интернет. С точки зрения безопасности, наилучшим вариантом было бы выделение для интернета автономного компьютера, где исключено хранение конфиденциальной информации.

При необходимости организации распределённой работы сотрудников, оптимальным вариантом являются виртуальные частные сети.

Нарушения информационной безопасности могут произойти, несмотря на все принятые меры. Поэтому в политике безопасности должны быть обязательно предусмотрены меры по ликвидации таких последствий, восстановлению нормальной работы предприятия и минимизации причинённого ущерба^[28].

Немаловажное значение здесь имеет применение средств резервированного электропитания, а также правильная организация защищённого документооборота^[29].

Подводя итоги вышеизложенного, можно констатировать, что создание КСЗИ – это непрерывный, сложный и кропотливый процесс, возложенный на службу безопасности предприятия. Немаловажным условием, способствующим уменьшению угроз съема информации, несомненно, будет тщательный отбор и обучение персонала, что способствует уменьшению текучки кадров и более рациональному решению проблемы «человеческого фактора».

Таким образом, непрерывно возрастающему уровню угроз должен быть противопоставлен постоянный рост технической оснащённости организаций и предприятий, а также профессионализма специалистов, работающих в области защиты информации.

Основные выводы сводятся к следующему:

Создание и совершенствование КСЗИ – непрерывный и довольно сложный процесс.

Никакую систему защиты нельзя считать абсолютно надежной, поэтому необходимо осуществлять постоянный мониторинг и развитие функционирующей на предприятии системы защиты информации.

ЗАКЛЮЧЕНИЕ

Итак, изучив и проработав материал для выполнения поставленных задач работы, мы пришли к следующим выводам:

На современном этапе состояния общества информационные технологии активно внедряются во все сферы национальной экономики. Сегодня руководство любого промышленного предприятия, по существу, имеет дело с корпоративной информацией, на основе которой принимаются ответственные решения. Такая информация должна соответствовать требованиям актуальности, достоверности, структурированности и конфиденциальности.

Усложнение средств, методов, форм автоматизации процессов обработки информации повышает зависимость промышленных предприятий от степени безопасности, используемых ими ИТ, при этом качество информационной поддержки управления напрямую зависит от организации инфраструктуры защиты информации.

Существует несколько основных направлений защиты информации:

1. Организационно-техническое. Создает барьер для объектов защиты, который затрудняет или исключает искажение и доступ к информации в автоматизированных системах без желания пользователей этой системы. Это направление является более действенным в реальных условиях. В его основные задачи входит обеспечение целостности и конфиденциальности информации ограниченного доступа.

2. Правовое. Обеспечивается с помощью государственных законов, норм, инструкций и документов предприятия.

3. Экономическое. Правонарушитель возмещает материальный ущерб, причиненный владельцу информации в результате несанкционированного доступа.

После того, как необходимая информация будет собрана, руководство организации может создать подразделение информационной безопасности, которое будет включать квалифицированных сотрудников, осуществляющих исполнение специальных защитных мероприятий. В задачи такого подразделения защиты информации входит:

- обеспечивать защиту данных;

- не допускать несанкционированное проникновение к секретной информации;

- обеспечивать целостность информации в организации во время чрезвычайных ситуаций.

Защита информации в организации должна занимать первенствующее место в становлении и ведении бизнеса. Обеспечение информационной безопасности — залог успеха, прибыли и достижения целей предприятия. Поэтому руководители организаций должны учитывать важность информационной безопасности и предсказывать появление новых технологий в этой области.

Таким образом, можно сделать ряд рекомендаций работодателю предприятия для того, чтобы максимально защитить внутреннюю информацию. Необходимо самому позаботиться о секретах компании. Действующие нормативные правовые акты не предусматривают эффективную защиту конфиденциальной информации организации. При выполнении указанных в работе действий, внедрении вышеперечисленных методов и средств защиты информации, можно существенно снизить риск утраты закрытой информации.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Акулов А.А. Проблематика информационной безопасности на предприятии / А.А. Акулов // Матрица научного познания, № 12, 2017, с. 14-20
2. Анищенко В.А. Специфика оценки рисков информационной безопасности предприятий / В.А. Анищенко // Достижения науки и образования, № 5 (18), 2017, с.15-17
3. Бабаш А.В. Информационная безопасность. История защиты информации в России / А.В. Бабаш. – М.: Книжный дом "Университет" (КДУ), 2015. – 736с.
4. Бигаева Д.Б. Система информационной безопасности Российской Федерации / Д.Б. Бигаева, А.Б. Бигаев // Вестник науки и образования, т.2 № 7 (31), 2017, с.14-17
5. Бланк Я.А. Критерии оценки программно-аппаратных комплексов обеспечения безопасности информационных систем предприятий / Я.А. Бланк, К.И. Былинка, А.Н. Молчанов // Наука, техника и образование, № СВ2 (13), 2017 с.67-71
6. Гришина Н.В. Информационная безопасность предприятия: Учебное пособие. Гриф МО РФ / Н.В. Гришина. – М.: Форум, 2017. – 239с.
7. Кузнецов Н.А. Информационная безопасность систем организационного управления. Теоретические основы. Том 1 / Н.А. Кузнецов, В.В. Кульба. – М.: Наука, 2006. – 496с.
8. Кузнецов Н.А. Информационная безопасность систем организационного управления. Теоретические основы. Том 2 / Н.А. Кузнецов, В.В. Кульба. – М.: Наука, 2006. – 438с.
9. Нерекин К.С. Система защиты информации в государственных организациях / К.С. Нерекин, И.И. Какадий // Научный журнал Дискурс, № 4 (6), 2017, с.81-89
10. Партыка Т.Л. Информационная безопасность. Учебное пособие. Гриф МО РФ / Т.Л. Партыка, И.И. Попов. – М.: Инфра-М, 2018. – 432с.
11. Петриченко Г.С. Разработка методики выбора маршрутизаторов, для построения корпоративной сети предприятия / Г.С. Петриченко, О.А. Кузнецова, Д.Г. Петриченко // Научные ведомости Белгородского Государственного Университета. серия: экономика. Информатика, № 2 (251), 2017, с.147-152
12. Скабцов Н. Аудит безопасности информационных систем / Н. Скабцов. – СПб.: Питер, 2018. – 272с.
13. Современные угрозы, исходящие от информационных систем / Официальный сайт компании InfoWatch // URL: https://www.infowatch.ru/sites/default/files/docs/pamyatka_sovremenye_ugrozi_IW.pdf (Дата обращения: 01.04.2018)
14. Соляной В.Н. Утечка информации на современном предприятии (организации) - проблема информационной безопасности / В.Н. Соляной, А.И. Сухотерин // Информационно-технологический вестник, т.11 № 1, 2017, с.95-102
15. Трайнев В. А. Системный подход к обеспечению информационной безопасности предприятия (фирмы) / В. А. Трайнев. – М.: Дашков и К°, 2018. – 332с.
16. Тюменев А.В. Обеспечение безопасности информационных ресурсов предприятия / А.В. Тюменев, Н.Н. Панов // Системные технологии, № 3 (24), 2017, с.68-71
17. Чернопятов А.М. Информационная безопасность в деятельности организаций на современном этапе / А.М. Чернопятов, Е.В. Сидоркина // Тенденции развития науки и образования, № 22-2, 2017, с.32-37
18. Чипига А.Ф. Информационная безопасность автоматизированных систем. Учебное пособие для студентов вузов, обучающихся по специальностям в области информационной безопасности / А.Ф. Чипига. – М.: Гелиос АРВ, 2010. – 336с.
19. Чуприна С. И. Информационная безопасность предприятия / С. И. Чуприна // Актуальные научные исследования в современном мире, № 10-4 (30), 2017, с.50-54
20. Шаньгин В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. – М.: ДМК Пресс, 2017. – 702с.
21. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. – М.: Форум, 2018. – 416с.
22. Шевкунов Н.О. Методические основы оценки эффективности обеспечения информационной безопасности / Н.О. Шевкунов, А.В. Жигунова // Наука и образование: хозяйство и экономика; предпринимательство; право и управление, № 2 (93), 2018, с.33-36

ПРИЛОЖЕНИЕ 1

Таблица 3.1

Выявление актуальных угроз безопасности

Угроза безопасности	Вероятность возникно-вения	Опас-ность	Актуаль-ность
Внутренние источники угрозы безопасности
Антропогенные источники
Разглашение защищаемой информации лицами, имеющими к ней право доступа	Средняя	Высокая	актуальная
Неправомерные действия со стороны лиц, имеющих право доступа к информации	Высокая	Высокая	актуальная
Несанкционированный доступ к информации	Высокая	Высокая	актуальная
Ошибки обслуживающего персонала	Низкая	Средняя	неактуальная
Техногенные источники
Дефекты, сбои и отказы программного обеспечения	Низкая	Высокая	актуальная
Дефекты сбои и отказы технических средств	Низкая	Высокая	актуальная
Наводка	Низкая	Средняя	неактуальная
Паразитное электромагнитное излучение	Низкая	Низкая	неактуальная
Излучение сигналов	Низкая	Низкая	неактуальная
Внешние источники угрозы безопасности
Антропогенные источники
Доступ к защищаемой информации с применением технических средств	Низкая	Высокая	актуальная
Действия криминальных групп	Низкая	Средняя	неактуальная
Искажение, уничтожение или блокирование информации с применение технических средств	средняя	Высокая	актуальная
Угроза безопасности	Вероятность возникнове-ния	Опас-ность	Актуаль-ность
Техногенные источники
Явления техногенного характера	Низкая	низкая	неактуальная
Стихийные источники
Стихийные бедствия, природные явления	Низкая	низкая	неактуальная

Таблица 3.2

Сравнительный анализ средств шифрования

Критерии оценки	Аппаратные средства	Программные средства
Стоимость покупки и эксплуатации за 1 шт. за 1 год	~2500 руб.	~1800 руб.
Возможность реализовать систему разграничения доступа к компьютеру	+	+
Скорость шифрования	до 80 МБ/с	до 60 МБ/с
Дополнительная нагрузка на центральный процессор компьютера	-	+
Защита от вредоносных программ	+	+
Наличие систем идентификации и аутентификации	+	+

1. Партыка Т.Л. Информационная безопасность. Учебное пособие. Гриф МО РФ / Т.Л. Партыка, И.И. Попов. – М.: Инфра-М, 2018 ↑

2. Шаньгин В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. – М.: ДМК Пресс, 2017 ↑

3. Чуприна С. И. Информационная безопасность предприятия / С. И. Чуприна // Актуальные научные исследования в современном мире, № 10-4 (30), 2017 ↑

4. Трайнев В. А. Системный подход к обеспечению информационной безопасности предприятия (фирмы) / В. А. Трайнев. – М.: Дашков и К°, 2018 ↑

5. Шевкунов Н.О. Методические основы оценки эффективности обеспечения информационной безопасности / Н.О. Шевкунов, А.В. Жигунова // Наука и образование: хозяйство и экономика; предпринимательство; право и управление, № 2 (93), 2018 ↑

6. Петриченко Г.С. Разработка методики выбора маршрутизаторов, для построения корпоративной сети предприятия / Г.С. Петриченко, О.А. Кузнецова, Д.Г. Петриченко // Научные ведомости Белгородского Государственного Университета. серия: экономика. Информатика, № 2 (251), 2017 ↑

7. Акулов А.А. Проблематика информационной безопасности на предприятии / А.А. Акулов // Матрица научного познания, № 12, 2017 ↑

8. Соляной В.Н. Утечка информации на современном предприятии (организации) - проблема информационной безопасности / В.Н. Соляной, А.И. Сухотерин // Информационно-технологический вестник, т.11 № 1, 2017 ↑

9. Анищенко В.А. Специфика оценки рисков информационной безопасности предприятий / В.А. Анищенко // Достижения науки и образования, № 5 (18), 2017 ↑

10. Кузнецов Н.А. Информационная безопасность систем организационного управления. Теоретические основы. Том 2 / Н.А. Кузнецов, В.В. Кульба. – М.: Наука, 2006 ↑

11. Кузнецов Н.А. Информационная безопасность систем организационного управления. Теоретические основы. Том 1 / Н.А. Кузнецов, В.В. Кульба. – М.: Наука, 2006 ↑

12. Чернопятов А.М. Информационная безопасность в деятельности организаций на современном этапе / А.М. Чернопятов, Е.В. Сидоркина // Тенденции развития науки и образования, № 22-2, 2017 ↑

13. Мельникова Е. И., аспирантка юридического факультета Института права и государственной службы Ульяновского государственного университета, кафедра государственного и административного права. – Авторское исследование на тему "Методы и средства защиты коммерческой тайны на предприятии". ↑

14. Акулов А.А. Проблематика информационной безопасности на предприятии / А.А. Акулов // Матрица научного познания, № 12, 2017 ↑

15. Партыка Т.Л. Информационная безопасность. Учебное пособие. Гриф МО РФ / Т.Л. Партыка, И.И. Попов. – М.: Инфра-М, 2018 ↑

16. Тюменев А.В. Обеспечение безопасности информационных ресурсов предприятия / А.В. Тюменев, Н.Н. Панов // Системные технологии, № 3 (24), 2017 ↑

17. Шаньгин В.Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. – М.: Форум, 2018 ↑

18. Трайнев В. А. Системный подход к обеспечению информационной безопасности предприятия (фирмы) / В. А. Трайнев. – М.: Дашков и К° ↑

19. Соляной В.Н. Утечка информации на современном предприятии (организации) - проблема информационной безопасности / В.Н. Соляной, А.И. Сухотерин // Информационно-технологический вестник, т.11 № 1, 2017 ↑

20. Чуприна С. И. Информационная безопасность предприятия / С. И. Чуприна // Актуальные научные исследования в современном мире, № 10-4 (30), 2017 ↑

21. Бабаш А.В. Информационная безопасность. История защиты информации в России / А.В. Бабаш. – М.: Книжный дом "Университет" (КДУ), 2015 ↑

22. Нерекин К.С. Система защиты информации в государственных организациях / К.С. Нерекин, И.И. Какадий // Научный журнал Дискурс, № 4 (6), 2017 ↑

23. Скабцов Н. Аудит безопасности информационных систем / Н. Скабцов. – СПб.: Питер, 2018 ↑

24. Чернопятов А.М. Информационная безопасность в деятельности организаций на современном этапе / А.М. Чернопятов, Е.В. Сидоркина // Тенденции развития науки и образования, № 22-2, 2017 ↑

25. Соляной В.Н. Утечка информации на современном предприятии (организации) - проблема информационной безопасности / В.Н. Соляной, А.И. Сухотерин // Информационно-технологический вестник, т.11 № 1, 2017 ↑

26. Скабцов Н. Аудит безопасности информационных систем / Н. Скабцов. – СПб.: Питер, 2018 ↑

27. Чипига А.Ф. Информационная безопасность автоматизированных систем. Учебное пособие для студентов вузов, обучающихся по специальностям в области информационной безопасности / А.Ф. Чипига. – М.: Гелиос АРВ, 2010 ↑

28. Шаньгин В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. – М.: ДМК Пресс, 2017 ↑

29. Партыка Т.Л. Информационная безопасность. Учебное пособие. Гриф МО РФ / Т.Л. Партыка, И.И. Попов. – М.: Инфра-М, 2018 ↑