Как защищаться?
Наиболее простой способ - купить новейшие рекламируемые средства защиты и установить их у себя в организации, не утруждая себя обоснованием их полезности и эффективности. Если компания богата, то она может позволить себе этот путь. Однако истинный руководитель должен системно оценивать ситуацию и правильно расходовать средства. Во всем мире сейчас принято строить комплексную систему защиту информации и информационных систем в несколько этапов - на основе формирования концепции информационной безопасности, имея в виду в первую очередь взаимосвязь ее основных понятий (рис. 13.2) [Лапонина О.Р. Основы сетевой безопасности. М.: ИНТУИТ.ru, 2005].
Первый этап - информационное обследование предприятия - самый важный. Именно на этом этапе определяется, от чего в первую очередь необходимо защищаться компании.
Рис. 13.2. Взаимосвязанные параметры поля информационной безопасности
Вначале строится так называемая модель нарушителя, которая описывает вероятный облик злоумышленника, т. е. его квалификацию, имеющиеся средства для реализации тех или иных атак, обычное время действия и т. п. На этом этапе можно получить ответ на два вопроса, которые были заданы выше: "Зачем и от кого надо защищаться?" На этом же этапе выявляются и анализируются уязвимые места и возможные пути реализации угроз безопасности, оценивается вероятность атак и ущерб от их осуществления.
По результатам этапа вырабатываются рекомендации по устранению выявленных угроз, правильному выбору и применению средств защиты. На этом этапе может быть рекомендовано не приобретать достаточно дорогие средства защиты, а воспользоваться уже имеющимися в распоряжении. Например, в случае, когда в организации есть мощный маршрутизатор, можно рекомендовать воспользоваться встроенными в него защитными функциями, а не приобретать более дорогой межсетевой экран (Firewall).
Наряду с анализом существующей технологии должна осуществляться разработка политики в области информационной безопасности и свода организационно-распорядительных документов, являющихся основой для создания инфраструктуры информационной безопасности (рис. 13.3). Эти документы, основанные на международном законодательстве и законах Российской федерации и нормативных актах, дают необходимую правовую базу службам безопасности и отделам защиты информации для проведения всего спектра защитных мероприятий, взаимодействия с внешними организациями, привлечения к ответственности нарушителей и т. п.
Рис. 13.3. Составляющие инфраструктуры информационной безопасности
Формирование политики ИБ должно сводиться к следующим практическим шагам.
-
Определение и разработка руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
-
принципы администрирования системы ИБ и управление доступом к вычислительным и телекоммуникационным средствам, программам и информационным ресурсам, а также доступом в помещения, где они располагаются;
-
принципы контроля состояния систем защиты информации, способы информирования об инцидентах в области ИБ и выработку корректирующих мер, направленных на устранение угроз;
-
принципы использования информационных ресурсов персоналом компании и внешними пользователями;
-
организацию антивирусной защиты и защиты против несанкционированного доступа и действий хакеров;
-
вопросы резервного копирования данных и информации;
-
порядок проведения профилактических, ремонтных и восстановительных работ;
-
программу обучения и повышения квалификации персонала.
Разработка методологии выявления и оценки угроз и рисков их осуществления, определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
Структуризацию контрмер по уровням требований к безопасности.
Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.
Следующим этапом построения комплексной системы информационной безопасности служит приобретение, установка и настройка рекомендованных на предыдущем этапе средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны, средства анализа защищенности и другие.
Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.
С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных слабых мест и атак, меняется технология обработки информации, изменяются программные и аппаратные средства, приходит и уходит персонал компании. Поэтому необходимо периодически пересматривать разработанные организационно-распорядительные документы, проводить обследование ИС или ее подсистем, обучать новый персонал, обновлять средства защиты.
Следование описанным выше рекомендациям построения комплексной системы обеспечения информационной безопасности поможет достичь необходимого и достаточного уровня защищенности вашей автоматизированной системы.
- 0. Введение: Введение:
- Информация и информационная культура
- Информация, данные, знание и развитие экономики
- Информационные революции
- Информация и информационная культура предприятия
- Контрольные вопросы и задания
- Сферы применения информационных технологий
- Обработка информации
- Хранение информации. Базы и хранилища данных
- Развитие инструментальных средств обработки информации
- Предыстория эвм
- Вычислительные устройства
- Поколения эвм
- Суперкомпьютеры и кластеры
- Компьютеры следующего поколения
- Контрольные вопросы и задания
- Предпосылки быстрого развития информационных технологий
- Этапы развития информационных технологий
- Проблемы, стоящие на пути информатизации общества
- Задачи и процессы обработки информации
- Преимущества применения компьютерных технологий
- Инструментальные технологические средства
- Тенденции развития ит
- От обработки данных - к управлению знаниями
- Децентрализация и рост информационных потребностей
- Интеграция децентрализованных систем
- Капиталовложения и риски
- Психологический фактор и языковые уровни
- Развитие ит и организационные изменения на предприятиях
- Контрольные вопросы и задания
- Развитие Internet/Intranet технологий
- Поисковые системы
- Internet-технологии в бизнесе
- Электронная коммерция
- Контрольные вопросы и задания
- Понятие информационной системы
- Информационная стратегия как ключевой фактор успеха
- Внешнее и внутреннее информационное окружение предприятия
- Информационный контур, информационное поле
- Контрольные вопросы и задания
- Роль структуры управления в формировании ис
- Типы данных в организации
- От переработки данных к анализу
- Системы диалоговой обработки транзакций
- Рабочие системы знания и автоматизации делопроизводства
- Управляющие информационные системы
- Системы поддержки принятия решений
- Olap-технологии
- Технологии Data Mining
- Статистические пакеты
- Нейронные сети и экспертные системы
- Информационные системы поддержки деятельности руководителя
- Контрольные вопросы и задания
- Взаимосвязь информационных подсистем предприятия
- Сервис-ориентированная архитектура ис
- Контрольные вопросы и задания
- Принципы создания информационной системы
- Принцип "открытости" информационной системы
- Структура среды информационной системы
- Модель создания информационной системы
- Реинжиниринг бизнес-процессов
- Отображение и моделирование процессов
- Обеспечение процесса анализа и проектирования ис возможностями case-технологий
- Внедрение информационных систем
- Основные фазы внедрения информационной системы
- Контрольные вопросы и задания
- Управленческий учет и отчетность
- Автоматизированные информационные системы
- Интегрированная информационная среда
- Эволюция кис
- Контрольные вопросы и задания
- Методология планирования материальных потребностей предприятия mrp
- Стандарт mrp II
- Контрольные вопросы и задания
- Erp и управление возможностями бизнеса
- Состав erp-системы
- Основные различия систем mrp и erp
- Особенности выбора и внедрения erp-системы
- Основные принципы выбора erp-системы
- Основные технические требования к erp-системе
- Оценка эффективности внедрения
- Особенности внедрения erp-системы
- Основные проблемы внедрения и использования erp-систем
- Неэффективность внедрения
- Сложность эффективной интеграции erp-систем с приложениями третьих фирм
- Ограниченные аналитические возможности erp-систем и недостаточная поддержка процессов принятия решений
- Контрольные вопросы и задания
- Функциональное наполнение концепции crm
- Главные составляющие crm-системы
- Планирование ресурсов предприятия, синхронизированное с требованиями и ожиданиями покупателя
- Новая покупательская ценность
- Выстраивание новых взаимоотношений: фокус на покупателя, а не на продукт
- Главная цель - "интегрирование" покупателя
- Использование открытых технологий
- Методология scm: ключ к согласованному бизнесу
- Контрольные вопросы и задания
- Надо ли защищаться?
- От кого защищаться?
- От чего защищаться?
- Как защищаться?
- Чем защищаться?
- Кто и как должен заниматься организацией защиты?
- Что выбрать?
- Контрольные вопросы и задания
- 14. Лекция: Заключение: