Проблемы защиты информации на предприятии
Содержание данной статьи проверено и подтверждено:
Музалевский Федор Александрович
Ведущий эксперт компьютерно-технического направленияОбеспечение информационной безопасности (ИБ) стало неотъемлемым процессом функционирования предприятий с различными видами деятельности. Основные составляющие информационной безопасности – это целостность информации, ее конфиденциальность и доступность.
Под целостностью понимается свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Конфиденциальность информации – это свойство информации быть известной и доступной только правомочным субъектам (программам, процессам, пользователям). Доступность – свойство системы обеспечивать своевременный беспрепятственный доступ правомочных субъектов к интересующей их информации.
Моделирование угроз безопасности
Исходя их указанных выше свойств, но не ограничиваясь ими, определяются угрозы безопасности информации, а сам процесс защиты информации направлен на предотвращение угроз и устранение последствий при совершении действий с информацией (сбор, хранение, обработка, передача).
Здесь важным моментом является моделирование угроз безопасности – необходимо определять перечень актуальных угроз и потенциальных нарушителей во избежание лишних затрат и исключения возможности непринятия во внимание угроз с учетом специфики деятельности организации.
Некорректное моделирование угроз следует отнести к одной из основополагающих проблем защиты информации, так как упущение из рассмотрения того или иного фактора может привести к реализации угроз безопасности, которые могут привести к ухудшению всех финансово-экономических показателей деятельности предприятия вплоть до прекращения его функционирования.
Что включает в себя защита информации
Защита информации включает в себя:
- комплекс организационных мероприятий
- комплекс технических мероприятий.
Проблемы обеспечения информационной безопасности предприятий
Существует немалое количество проблем защиты информации, и охватить их все не предоставляется возможности, однако выделим некоторые из них.
Так как информационная безопасность – это безопасность связанная с угрозами в информационной сфере, то следует напомнить о том, что Система Информационной безопасности (СИБ), это совокупность защитных мер, защитных средств и процессов эксплуатации, включая ресурсное и административное (организационное) обеспечение.
Организационная защита информации на предприятии
Организационное обеспечение – это обеспечение, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на предприятии. Ограничения устанавливаются в актуальных, качественных, всеобъемлющих внутренних нормативных документах, инструкция, положениях, приказах, регламентах.
В обязательном порядке в таких документах должны быть определены:
- ответственность каждого сотрудника;
- степень определения тяжести последствий за разглашение тех или иных сведений;
- невыполнение требований внутренних нормативных документов и применимые санкции;
- порядок безопасной работы в тех или иных информационных системах;
- порядок действий в различных ситуациях;
- определен запрет на те или иные действия;
- выделены роли лиц ответственных за обеспечение информационной безопасности, их права, полномочия, выделяемые ресурсы и т.д.
Однако не всегда Руководители организаций имеют достаточный уровень осознания степени значимости Системы ИБ, и не готовы выделять ресурсы как на содержание в штате организации сотрудника ответственного за обеспечение ИБ, так и для своевременного повышения квалификации уже имеющихся сотрудников подразделений ИБ.
Не готовы Руководители организаций и предприятий выделять ресурсы на приобретение готовых решений по технической защите информации и систем DLP, не готовы определять права и полномочия сотрудников ответственных за обеспечение ИБ и в целом курировать данное направление, не готовы учитывать профессиональные мнения и замечания таких сотрудников, которые не приносят прибыль организации, а только постоянно требуют выделить денежные средства на приобретение средств защиты информации.
В таких ситуациях все зависит от настойчивости сотрудника ответственного за обеспечение ИБ, в его коммуникабельности, компетентности, и каким образом он может донести информацию до руководителя о необходимости предоставления полномочий и финансирования. Для убедительности руководителю организации нужны доводы и обоснования, которые лучше всего предоставлять в виде оценки рисков и возможных последствий.
Технические меры по защите информации на предприятии
Техническое обеспечение – это комплекс технических средств, предназначенных для обеспечения работы системы ИБ. К таким техническим средствам относятся: системы регистрации событий, системы анализа, контроля и мониторинга состояния ИБ, системы управления доступом, системы защиты от воздействия вредоносного кода, системы контроля подключения и использования съемных носителей информации, системы предотвращения утечек информации и т.д.
Однако и в техническом обеспечении имеется ряд определенных проблем. Одной из них, как было упомянуто выше, является не достаточный уровень квалификации сотрудника ответственного за обеспечение ИБ в установке, настройке, эксплуатации и контроле работоспособности технических средств защиты информации, что в свою очередь может привести к возникновению уязвимости, которую злоумышленники могут использовать для реализации угроз ИБ.
Еще одной проблемой может являться приобретение готовых продуктов и решений, с невысокой стоимостью, но не прошедших установленных процедур сертификации уполномоченных органов, не соответствующих требуемым качествам, предъявляемым к таким системам, и не включающим в поставляемый пакет технической поддержки. Отсутствие совершенствования имеющихся систем может снизить качество их функционирования и степени надежности таких систем.
Информационная безопасность предприятия: резюме
Это только малый перечень проблем, которые требуют обсуждения и на которые стоит обратить внимание Руководителям организаций и предприятий. Но при должном уровне осознания руководством значимости информационной безопасности, грамотном расчете потенциальных рисков, и возможного ущерба, при качественной минимизации негативных последствий, при достаточном уровне определения прав и полномочий ответственных сотрудников, своевременном совершенствовании имеющихся систем, при должном финансировании большинство проблем можно избежать, связанных как с нарушением одних из свойств ИБ, так и связанных с незаконными финансовыми потерями, деловой репутацией.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram