Система информационной безопасности

Как только в нашу жизнь ворвались информационные технологии, информация стала прекрасным товаром. Если ещё сто лет и не думали о том, что можно продавать информацию в таком объёме, то сегодня это стало возможным.

И сегодня многие готовы отдать много денег, чтобы узнать секреты конкурентов или известных людей. А в бизнесе утечка информации вообще стала глобальной проблемой руководителей.

Внедрение системы информационной безопасности – одна из главных задач, которую следует решать уже на стадии открытия компании.

Что такое информационная безопасность? Это защищённость информации от преднамеренного или случайного вмешательства, которое может нанести вред владельцу информации. Им может быть как человек, так и компания.

К тому же, безопасность информации не сводится лишь к её защите от несанкционированного вмешательства, а может пострадать и от поломки всей системы или части. Кроме этого, утечка информации, возможна, и от электромагнитных излучений, специальных устройств для перехвата передаваемой информации из одного объекта в другой.

Состав системы информационной безопасности

• Доступность – информация доступна только в определённом виде, времени и месте конкретному кругу лиц.
• Конфиденциальность – доступ к информации очень узкого круга лиц.
• Целостность – комплекс мероприятий, которые направлены на обеспечение целостности обрабатываемой информации.

Цель защиты информации – сведение к минимуму потерь, которые могут быть вызваны нарушением недоступности, целостности или конфиденциальности. Таким нарушением может быть некоторые воздействия на компьютерные системы предприятия.

Современная система безопасности на предприятии представляет сегодня несколько компонентов, которые могут выйти из строя.

Программное обеспечение. Любые программы, которые приобретены и загружены в систему: объектные, исходные или загрузочные, утилиты и т.д.

Аппаратные средства. Это компьютеры, ноутбуки, периферийные устройства, любые линии связи.

Открывая собственный бизнес и получив на руки пакет регистрационных документов и печать, руководитель частного предприятия должен открыть расчётный счёт в местном кредитно-финансовом учреждении.

Для открытия ООО необходим уставной капитал. Вноситься он может как наличными деньгами на счёт в банке, так и имуществом, ценными бумагами так и правами, имеющими денежную оценку. О том как открыть ООО читайте в этой статье.

Хранимые данные. Они могут как постоянные, так и временные на любых носителях.

Пользователи и обслуживающий персонал.

Система информационной безопасности на предприятиях и банках должна всегда совершенствоваться и развиваться. Необходим постоянный контроль функциональной системы, усиление её слабых мест, обновление существующих и дополнение новых механизмов защиты.

Комплексное использование всего арсенала имеющих средств защиты обусловлено возможными действиями злоумышленников.

Условием для обеспечения безопасности информации является законность и соблюдение интересов, профессионализм представителей службы безопасности, соблюдение всех установленных правил, ответственность персонала и руководства.

Воздействия на информационную систему предприятия можно разделить на две части: преднамеренную и случайную.

Случайными могут быть: сбой или отказ аппаратуры, помехи в линии связи, ошибки в программном обеспечении, аварии из-за стихийных бедствий и неожиданных отключений электроэнергии и ошибки персонала.

Преднамеренными воздействиями считаются: конкуренция, недовольство служащих, взятка, любопытство персонала.

Нарушители информационной безопасности

• Как постороннее лицо, так и человек, пользующийся системой законно.
• Разработчик системы.
• Человек, которому известен принцип работы системы.
• Человек, кому известны слабые места в защите.

Самый распространённый вид компьютерных нарушений – несанкционированный доступ. Он возможен при даже самой небольшой ошибке в системе, при некорректной установке или настройки программы.

Каналы, при которых возможен несанкционированный доступ к информации.

Человек. Хищение носителей информации, распечатка или перенос информации на носитель пользователя.

Программа. Возможен перехват паролей, копирование или дешифровка защищённой информации.

Аппаратура. Возможен перехват электромагнитных излучений, линий связи, подключение специальных устройств, которые могут обеспечить доступ к нужной информации.

Так как компьютерные сети распределены в пространстве, связь между ними осуществляется при помощи сетевых линий. Информация и сообщения пересылаются в виде пакетов данных. Против них могут возникнуть удалённые атаки. То есть человек может находиться за тысячи километров от интересующего объекта, и атаковать не только компьютер, но и информацию, которая в этот момент передаётся по каналам связи.

Обеспечение информационной безопасности

Существует пять уровней защиты информации:

• Законодательный – на уровне законов, норм, актов и т. д.
• Административный – на уровне администрации предприятия.
• Аппаратно-программный – на уровне специальных программ и устройств.
• Физический – на уровне электронно-механических препятствий для проникновения нарушителей.
• Морально-этический – на уровне норм поведения, престижа как одного человека, так и целой организации.

Только комплекс таких мер, которые будут направлены на устранение угрозы безопасности, образуют систему защиты информации.

Система управления информационной безопасностью должна соответствовать таким критериям, как:

• Сумма потраченных средств на защиту должна быть меньше, чем предполагаемый ущерб.
• Защита эффективна тогда, когда с ней просто работать.
• В экстренных случаях должна просто отключаться.
• Пользователи не должны иметь много привилегий для работы.
• Специалисты, работающие с системой, должны полностью в ней разбираться.
• Те, кто разрабатывал систему, не должны входить в число контролируемых.

Объекты защиты должны быть разделены на группы чтобы при нарушении одной не страдали остальные. Но при этом стоит помнить, что защите подлежит вся система обработки информации, а не её отдельные части.

Лица, работающие с системой, несут полную ответственность за сохранение конфиденциальности. Механизмы, осуществляющие защиту информации, должны быть скрыты от пользователей

Аппаратно-программные средства защиты информации

Несмотря на то, что современные компьютеры имеют собственные системы защиты, нельзя не думать о дополнительных средствах. Просто многие системы безопасности общего пользования не могут защитить данные при информационном сетевом обмене.

Существует несколько аппаратно-программных средств защиты.

Первая. Системы идентификации и аутентификации (распознавание и проверка подлинности) пользователей. Данные системы применяются для того, чтобы ограничить доступ незаконных пользователей к охраняемой информации.

Процедура аутентификации и идентификации осуществляется двумя видами:

• Традиционный тип – секретная информация (секретный ключ, пароль, персональный идентификатор, ЭЦП),
• Биометрический тип – физиологические параметры (рисунок радужной оболочки, отпечаток пальца и т. д.).

Вторая. Системы аутентификации электронных данных. В данной системе применяется код аутентификация сообщения или электронную подпись или имитовставка.

Имитовставка используется при помощи секретного ключа и передаётся по каналу связи в конце зашифрованных данных и проверяется получателем. Электронная цифровая подпись это аутентифицирующая информация, которая передаётся с подписываемым текстом.

Для автоматизации учета данных склада вводятся системы адресного хранения данных и штрихкодирования, благодаря чему показатель эффективности увеличивается, решаются многие задачи.

Для грамотной организации складского учета необходимо сотрудничество с высококвалифицированными специалистами и современное техническое оснащение складского помещения. О том как наладить работу склада читайте тут.

Третья. Системы шифрования дисковых данных, а также данных, которые передаются по сетям. По способу функционирования системы шифрования делятся на два класса: системы “прозрачного” шифрования – осуществляются в реальном времени; системы, специально вызываются для осуществления шифрования – утилиты, необходимые для шифрования, а также архиваторы со средствами парольной защиты.

Есть два способа шифрования: оконечное и канальное.

• Канальное шифрование защищает информацию, которая передаётся по любым каналам связи, при этом используются аппаратные средства, которые повышают производительность системы.
• Оконечное шифрование обеспечивает конфиденциальность передаваемых данных, правда защищается содержание сообщений, остальное остаётся открытым.

Четвёртая. Средства управления криптографическими ключами. Для защиты данных используется криптография, которая преобразует данные на уровне дисков и файлов.

Система информационной безопасности на предприятии одна из задач, решается в первую очередь. И заниматься её решением должны профессионалы.