Введение
- Неправильная оценка перспектив развития системы, в результате чего у системы не остается возможностей для количественного либо качественного роста, из-за чего требуется существенная перестройка системы практически сразу же после ее построения. С точки зрения информационной безопасности набор средств защиты и процедур, регулирующих защиту информации, значительно снижает показатели системы и создает условия для отказа от использования средств защиты в процессе эксплуатации.
- Привязка к жестко определенной инфраструктуре обуславливается обычно стремлением использовать известные и, как правило, давно применяющиеся технологии. Как следствие, при необходимости перехода на другие технологии систему невозможно динамично модернизировать в обозримые сроки и без значительных затрат.
- Невозможность разделения инфраструктурной и прикладной компонент является естественным сл-едствием ситуации, когда система строится в расчете на определенные инфраструктурные решения. В результате создается защищенная инфраструктура, но информация, обрабатываемая в прикладных системах, остается незащищенной.
- Маркетинговый подход к выбору технологий и продуктов не позволяет объективно оценить свойства технологий и решений, предлагаемых различными поставщиками. При этом поставщики указывают на преимущества решений и умалчивают о недостатках. Недостатки же могут сделать систему существенно менее привлекательной, а в ряде случаев — и вовсе не отвечающей предъявляемым к ней требованиям.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Информационная безопасность предприятия обеспечивается в случае сохранения следующих свойств информационной системы:
- доступность (возможность за приемлемое время получить требуемую информационную услугу);
- целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
- конфиденциальность (защита от несанкционированного ознакомления).
Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Основными задачами обеспечения информационной безопасности являются:
- создание механизмов своевременного выявления, прогнозирования, локализации и оперативного реагирования на угрозы безопасности и проявления негативных тенденций в использовании информационных ресурсов и систем;
- создание эффективной нормативно-правовой базы обеспечения информационной безопасности;
- создание технологической и материально-технической базы информационной безопасности;
- обеспечение правовой защиты субъектов информационных отношений;
- сохранение и эффективное использование информационных ресурсов;
- координация деятельности органов государственной власти, организаций и предприятий отрасли в обеспечении информационной безопасности;
- унификация требований к обеспечению информационной безопасности;
- создание комплексной системы информационной безопасности и контроля эффективности принимаемых мер защиты;
- обеспечение надежного функционирования информационных систем и предоставляемых ими услуг.
Работы по защите информации должны проводиться поэтапно с участием руководства и персонала подразделений, осуществляющих хранение и обработку информации. Этапы работ включают:
категорирование информации;
анализ структуры информационных ресурсов и значимых рисков;
планирование и реализация организационных мер;
- проектирование и внедрение программно-технических средств защиты информации.
Важным с точки зрения эффективности применяемых решений является их соответствие заданным требованиям, которые, в свою очередь, обосновываются анализом рисков, проведенным для конкретной системы в соответствии с международно признанными методиками.
Опыт показывает, что определяющими для успешной реализации системы информационной безопасности в организации являются следующие факторы:
- цели безопасности и ее обеспечение основываются на производственных целях и требованиях, функции управления безопасностью выполняет руководство организации;
- явная поддержка и приверженность высшего руководства к поддержанию режима безопасности;
- адекватное понимание рисков нарушения безопасности (как угроз, так и слабостей), которым подвергаются ресурсы организации, и уровня их защищенности, который основывается на ценности и важности этих ресурсов;
- ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации;
- предоставление исчерпывающего пособия по политике и стандартам информационной безопасности всем сотрудникам и подрядчикам.
Эффективная эксплуатация большой высококритичной системы требует не только расширенного технического обслуживания, но и ряда услуг консалтингового характера. Эффективность использования всех предлагаемых услуг в первую очередь зависит от того, насколько точно описаны текущие требования к эксплуатации и планы развития всей ИТ-инфраструктуры организации.
Попытки решить проблемы безопасности внедрением того или иного средства являются неэффективной тратой денег, поскольку не обеспечивают полноты необходимого набора мер защиты. Только комплексный, систематический подход позволит успешно противостоять нарастающим угрозам. Различные аспекты такого подхода к решению современных проблем информационной безопасности раскрываются в представленных здесь материалах.