Развитие информационных технологий привело к изменениям способа выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Специалист, каким бы родом деятельности он не занимался, имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.
Однако использование компьютеров и автоматизированных информационных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к большому количеству самых разнообразных данных. Поэтому пользователи беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией обработки информации и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим данным. Постоянно увеличивается число компьютерных преступлений, а это может привести, в конечном счете, к подрыву экономики. Экономическая безопасность и информационная безопасность – единое целое. И поэтому должно быть ясно, что информация – это ресурс, который надо защищать.
Ответственность за защиту информации лежит на всех уровнях иерархии руководства, на всех пользователях. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем. И так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.
Обеспечение информационной безопасности фирмы, предприятия и государства в целом является одной из важнейших составляющих экономической безопасности.
Не проходящий и не снижающийся интерес к проблеме информационной безопасности, объясняется тем, что прежние подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно-значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационных системах страны.
Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным – до 80% от ущерба, наносимого информационным ресурсам любыми угрозами).
Согласно данным Национального Института Стандартов и Технологий США (NIST) 65% случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала. В России этот показатель достигает 80% от общего числа случайных угроз. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности, достоверности и конфиденциальности информации, а также компрометации механизмов защиты.
Второй класс угроз безопасности информации составляют преднамеренные угрозы. Данный класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами.
На данном этапе развития Российского общества основной преднамеренной угрозой является несанкционированный доступ к информации. По данным из некоторых отечественных источников он составляет 60 – 75 % от числа преднамеренных угроз.
Особенно плачевно складывается ситуация с обеспечением информационной безопасности на негосударственных предприятиях малого и среднего бизнеса. В первую очередь это связано с недопониманием руководства важности данного вопроса.
Одной из важнейших проблем в информационной безопасности предприятия является ее количественная оценка. Существуют показатели и методики оценки информационной безопасности отдельных элементов информационной системы, например, рабочего места специалиста или локальной компьютерной сети.
Однако это не позволяет оценить информационную безопасность предприятия в комплексе. К тому же, целесообразно, чтобы показатель информационной безопасности должен иметь вероятностный характер, так как реализация угроз является в основном случайным процессом.
Доктрина информационной безопасности Российской Федерации трактует понятие информационной безопасности как состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором с требуемой вероятностью обеспечивается защита информации.
Другой важной и взаимосвязанной проблемой является отсутствие приемлемых методик разработки и реализации мероприятий информационной безопасности. На крупных государственных предприятиях и коммерческих фирм имеются сложившиеся традиции и методологическая база организации работы с информационными ресурсами ограниченного пользования. Службы безопасности и охраны отдельно занимаются этими вопросами.
На предприятиях малого и среднего бизнеса этот подход и методический аппарат неприемлем, в первую очередь, из-за его масштабов и стоимости. Здесь предпочитают экономить на информационной безопасности, хотя это зачастую приводит к существенным финансовым и моральным потерям, вплоть до краха.
Аудит информационной безопасности представляет собой независимую экспертизу отдельных областей функционирования организации, проводимую по инициативе ее руководства или акционеров, либо в соответствии с планом проведения внутреннего аудита. Основными целями являются:
1) анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
2) оценка текущего уровня защищенности ИС;
3) локализация узких мест в системе защиты ИС;
4) оценка соответствия ИС существующим стандартам в области информационной безопасности;
5) выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов.
1. Инициирование обследования.
2. Сбор информации.
3. Анализ полученных данных.
4. Выработка рекомендаций.
5. Подготовка отчета по результатам обследования.
Подходы к проведению аудита безопасности могут базироваться на анализе рисков, опираться на использование стандартов информационной безопасности, либо объединять оба эти подхода.
В настоящее время имеется большое разнообразие как методов анализа и управления рисками, так и реализующих их программных средств.
Результатом проведения аудита, в последнее время, все чаще становится сертификат, удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта.
В области информационной безопасности существует множество нормативных актов, положений и инструкций. Знание стандартов и законов важно для специалистов в области информационных технологий по целому ряду причин, главная из которых состоит в том, что стандарты и законы – одна из форм приобретения и накопления знаний, поскольку в них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.
В настоящее время любая компания может пригласить независимого эксперта для аттестации на соответствие тому или иному российскому или международному стандарту в области информационной безопасности. Наличие таких сертификатов характеризует данную компанию с хорошей стороны и может помочь в общении с клиентами и деловыми партнерами.
На сегодняшний день разработано множество методов и средств, позволяющих решить проблемы, возникшие в области информационной безопасности. Одни описаны в различных российских и международных стандартах, другие являются закрытыми разработками каких-либо компаний, третьи являются либо опубликованными рассекреченными разработками, либо системами с открытым программным кодом. Охватить и рассмотреть их все очень сложно, однако можно говорить о направлениях, которые необходимо рассматривать при проектировании системы информационной безопасности.
Для рассмотрения этих направлений нужно обратить внимание на следующие моменты:
1) пользователи или иной персонал компании, а также злоумышленники или конкуренты, могут осуществлять какие либо действия с информацией через программные средства или через полученный доступ;
2) информация и программы могут быть повреждены;
3) информация может попасть к злоумышленникам или конкурентам из каких-либо источников, минуя все средства защиты.
Исходя из этого, можно выделить несколько направлений, изображенных на рис.
Рис. 1. Направления методов и средств защиты: 1) защита доступа; 2) защита программ; 3) защита целостности; 4) работа с пользователями и персоналом; 5) шифрование
Таким образом, можно сказать, что в настоящий момент информационная безопасность играет большую роль как в личной жизни, так и в профессиональной деятельности любого человека. Поэтому обучение основам информационной безопасности необходимо проводить как в образовательных учреждениях, так и на предприятиях. Не лишним будет и более углубленной самостоятельное изучение, а также поиск новых идей и методов обеспечения информационной безопасности, соответствующих изменениям и появляющимся угрозам. Итогом этого будет повышение грамотности и профессиональных компетенций работника, а также повышение безопасности организации.
Литература
1. ГОСТ Р ИСО/МЭК 15408 – 2001. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
2. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации от 9 сентября 2000 г. № Пр-1895.
3. Стандарт BSI\IT Baseline Protection Manual.
4. Стандарт ISO/IEC 17799:2000. Управление информационной безопасностью. Практические правила.
5. Стандарт ISO/IEC 27001:2005. Информационные технологии. Средства безопасности. Менеджмент качества в области безопасности информационных систем.
6. Стандарт SysTrust
7. Ткаченко А. Н. Основы информационной безопасности: в 3 томах / А. Н. Ткаченко, С. В. Буторин, Р. А. Аршинов. – Кемерово; М.: Издательское объединение «Российские университеты»: «Кузбассвузиздат - АСТШ», 2006. – 182 с. – Т. 1. Методы и средства информационной безопасности
8. Ткаченко, А. Н. Основы информационной безопасности: в трех томах. / А. Н. Ткачекко, С. В. Буторин, Р. А. Аршинов – Кемерово; М.: Издательское объединение «Российские университеты»: «Кузбассвузиздат – АСТШ», 2006. – 111 с. – Т. 2. Компьютерные вирусы
9. Ткаченко, А. Н. Основы информационной безопасности: в трех томах / Новокузнецкий филиал-институт Кемеровского госуниверситета / А. Н. Ткаченко, В. А. Никифорова, В. К. Буторин. – Кемерово; М.: Издательское объединение «Российские университеты»: «Кузбассвузиздат – АСТШ», 2006. – 174 с. – Т. 3. Компьютерные вирусы
Список используемых ресурсов Internet
1. http:// www.begin.ru
2. http://www.bre.ru
3. http://www.infosecurity.ru
4. http://www.jetinfo.ru
5. http://www.networkdoc.ru
6. http://www.totalsec.ru
7. http://www.infosecurity.ru
Источник: http://totem.edu.ru/index.php?option=com_content&task=view&id=523&Itemid=28 |