Угрозы информационной безопасности: как защитить свой бизнес

285
Фото © Shutterstock
Фото © Shutterstock

Угрозу информационной безопасности можно рассматривать в нескольких аспектах. В этом материале мы уделим внимание умышленной деятельности по нарушению функционирования информационной системы предприятия.

Угрозы информационной безопасности как одна из сфер пристального внимания

Угрозы информационной безопасности можно считать несущественными, если выполняется три условия.

  1. Ресурсы на каждом уровне системы имеют регламентированный уровень защиты, который позволяет закрыть доступ несанкционированным попыткам ее считывания.
  2. Пользователи, имеющие доступ к определенному уровню информации, имеют право вносить только те изменения, которые обусловлены их функциональными обязанностями на предприятии. Несанкционированные изменения от каждого пользователя не могут быть внесены в базу. Таким образом, осуществляется запрет на ее модификацию.
  3. Следующий критерий минимизации угрозы информационной безопасности – сокращение времени поиска необходимой информации.

Угрозы информационной безопасностинарушение одного их трех вышеперечисленных принципов работы с информационными массивами. Каждый из них имеет свою специфику практического применения. Наиболее подвержены воздействию злоумышленников первые два пункта. Защита от несанкционированного доступа, как правило, связана с внешними угрозами (не от резидентов информационной системы).

Защита от модификации призвана, в первую очередь, обезопасить от своих же сотрудников, которые неосознанно могут нанести вред информационной системе. Наконец, третий пункт представляет собой опасность перегруза информационной базы данных. Эта угроза может исходить как от своих сотрудников, так и от внешних источников, которые искусственно создают повышенный трафик информационных запросов и после этого система начинает сбоить.

Угроза информационной безопасности возникает в ходе эксплуатации любой базы данных, независимо от ее объема и структуры. Задача службы безопасности (собственной или находящейся на аутсорсинге) заключается в минимизации сбоев и потерь в ходе информационного обмена. Современная база данных представляет собой разветвленную информационную сеть, которая охватывает производственные и сбытовые процессы, включает в себя большое количество пользователей, в числе которых как свои сотрудники, так и нерезиденты системы (поставщики, заказчики, покупатели и т.д.)

Угрозы информационной безопасности являются не только следствием действий злоумышленников, но и наличием слабых мест в информационной системе, так называемыми уязвимостями.

Уязвимости, как правило, носят временный характер. Задача IT-специалиста отслеживать их и своевременно устранять, сужая тем самым окно опасности. Это период времени от появления уязвимости до устранения угрозы информационной безопасности.

Ошибки в программном обеспечении запускают окно опасности в момент его использования, для устранения требуется так называемое «пропатчивание», создание дополнительных модулей программного кода, устраняющих данную уязвимость.

В зависимости от степени угрозы информационной безопасности, уязвимость может существовать в широком временном интервале – от нескольких часов до нескольких месяцев. Срок ее существования определяется скоростью ее обнаружения и степенью опасности. Устранение уязвимости состоит из следующих этапов:

  • появление сигнала от пользователей или от администратора сети о наличии слабого места в информационной системе;
  • разработка «патча» (заплатки), призванного устранить существующий пробел;
  • инсталляция программного модуля для устранения угрозы информационной безопасности.

Угрозы информационной безопасности появляются регулярно и по своей сути являются несовершенством программного обеспечения. В ходе эксплуатации информационной системы постоянно происходит ее доработка под нужды заказчика и под изменяющиеся условия бизнес-среды. Новые возможности программного обеспечения могут нести в себе новые уязвимости, которые невозможно выявить в ходе лабораторного тестирования. Они всплывают на этапе реальной эксплуатации и устраняются созданием программных заплаток.

Кроме программных проблем, существуют аппаратные проблемы и периферийные угрозы информационной безопасности. На первое место можно поставить недостаточную мощность сервера. Запросы пользователей в критические моменты могут превышать его производительность и приводить к ошибкам в базе данных и незавершенным транзакциям. Решить эту проблему можно либо увеличением мощности серверного оборудования, либо оптимизацией процессов обращения к базе данных.

Проблема инфраструктуры заключается в нестабильности питающей сети (перебои с напряжением, скачки напряжения) и нестабильности работы поставщика интернета. Если первую проблему можно решить с помощью установки энергонезависимого оборудования (система бесперебойного питания на базе заряжаемых источников или генераторной установки), то стабильности интернета можно добиться дублированием каналов поставки.

Наиболее распространенные угрозы информационной безопасности оцениваются еще на этапе разработки информационной системы предприятия. Разрабатываются меры по их профилактике и быстрому предотвращению. Априори невозможно создать абсолютно безопасную систему, поэтому лучше заранее спрогнозировать потенциально уязвимые места и затем постепенно повышать их безопасность до приемлемого уровня. Проблема информационной безопасности заключается также и в стоимости ее обеспечения. Бывают случаи, когда тратятся существенные ресурсы на несущественные уязвимости, которые не являются критическими для информационной системы и для функционирования фирмы. Кроме того, гораздо легче исключить угрозы информационной безопасности, когда алгоритм их мониторинга и устранения заложен на этапе проектирования.

Грамотная постановка целей и задач безопасности информационной системы позволяет значительно снизить затраты на ее реализацию.

Принципы минимизации угрозы информационной безопасности

Структура базы данных – это свойство информационной системы поддерживать массив данных в таком виде, чтобы он был читаем, актуален и доступен для обработки. Сохранение структуры обеспечивается с помощью политики транзакций. Каждое действие пользователя должно осуществляться по определенному алгоритму. Пользователь, во-первых, должен иметь доступ к соответствующему разделу базы данных, а, во-вторых, действовать правильным образом. Тогда новая информация, попадающая в базу, будет иметь читаемую форму и не нарушит ее целостности. Такая задача решается путем создания диалоговых окон, в которых пользователь заполняет соответствующие поля.

Секретность информации – это свойство базы данных разрешать доступ к разделам в соответствии с политикой безопасности организации. Чем выше сотрудник на иерархической управленческой лестнице, тем больше прав доступа он получает. Это связано с тем, что он должен иметь доступ к информации, с которой работают его подчиненные, а также агрегировать ее. Если же система доступа имеет уязвимости, то сотрудники, а также нерезиденты компании, могут получить доступ к конфиденциальной информации. Это, как правило, критичное событие, так как оно может нарушить коммерческую тайну или раскрыть патентную информацию.

Скорость обращения к базе данных. Ключевой параметр, влияющий на скорость работы базы данных в целом, а также на количество пользователей, одновременно работающих с информацией. Кроме собственно скорости доступа, надо также учитывать и скорость внесения новой информации, то есть скорость проведения транзакций ввода/вывода.

Достоверность информации обеспечивается изначально достоверно вводимой информацией. А затем авторизацией проводимых операций ввода/вывода и подтверждением и возможностью плановой перекрестной проверки полученных данных.

Угрозы информационной безопасности являются прямыми финансовыми угрозами, которые возникают в результате злонамеренных действий третьих лиц. Это может быть целенаправленное завладение информацией данной фирмы с целью снижения ее конкурентоспособности, либо попадание под сетевую вирусную атаку, целью которой, как правило, является выведение из строя максимально возможного количества компьютерной техники или программного обеспечения. Другая опасность вытекает из проблем, связанных с неправильной политикой безопасности в области управления информационными системами.

Тогда возникают угрозы информационной безопасности, которые не связаны с целенаправленным сторонним воздействием, а являются просчетами в проектировании автоматизированной системы управления предприятием. И в том, и в другом случае фирма несет реальные убытки, которые связаны, в первую очередь, с непосредственными потерями от воздействия угрозы информационной безопасности, а затем с затратами на восстановление работоспособного состояния.

Человеческий источник угрозы информационной безопасности

Человеческий фактор как субъект нанесения ущерба информационной системе предприятия рассматривается, в первую очередь, с точки зрения целенаправленного нанесения убытков. Поскольку такой вариант является априори наиболее опасным для фирмы. Ведь он изначально нацелен на снижение ее конкурентоспособности, либо на существенное снижение производительности ее труда.

Вред, наносимый субъектом атаки на информационную систему, может быть выражен в виде хищения, то есть тайного завладения информацией и передачи ее заинтересованным лицам, либо в целенаправленном нарушении целостности рабочего пространства базы данных. Подобные действия попадают под соответствующую статью уголовного кодекса.

Выделяют санкционированные и несанкционированные способы доступа к информационной системе для нанесения ущерба организации. В первом случае злоумышленник действует стандартными методами, предусмотренными системой ввода/вывода данных. Например, он может завладеть логином и паролем кого-либо из сотрудников и действовать в системе от его имени.

Также и сотрудник по какой-либо причине может нанести вред системе, если он использует получаемую в рамках должностных обязанностей информацию в личных целях или по заказу заинтересованных лиц.

Внешние субъекты могут классифицироваться по квалификации и способу проникновения:

  • организованный преступный бизнес;
  • одиночные потенциальные преступники;
  • злонамеренные контактные аудитории (покупатели, поставщики, сервисные службы и т.п.);
  • IT-специалисты, занятые обслуживанием и доработкой информационной системы;
  • инспектирующие органы;
  • силовые структуры.

Внутренние субъекты состоят в первую очередь из специалистов, связанных с обслуживанием информационной системы. Как правило, это люди высокой квалификации, которая дает им возможность получать тайный несанкционированный доступ к нужной информации. Обычно они хорошо знакомы со структурой и спецификой программно-аппаратных средств, применяемых при проектировании и эксплуатации автоматизированной системы управления. К ним относятся:

  • разработчики, программисты и менеджеры, пользующиеся информационной системой;
  • специалисты службы безопасности;
  • обслуживающий персонал;
  • прочие категории работников и специалистов, имеющих доступ к информационной системе.

Крупные предприятия нередко сталкиваются с проблемой промышленного шпионажа. Это целая криминальная отрасль, которая направлена на создание источников угрозы информационной безопасности и похищения определенных видов информационных ресурсов, составляющих коммерческую и служебную тайну. Поэтому служба информационной безопасности крупного предприятия имеет сходную структуру с силовыми ведомствами, а также может принимать на работу специалистов, имеющих опыт работы в силовых структурах.

Поэтому безопасность предприятия начинается с кадровой проверки и заканчивается методами классического шпионажа и контршпионажа по отношению к конкурентам. Такая деятельность, как правило, проходит по грани правового поля, но является эффективной мерой выживания в большом бизнесе.

Техногенные факторы как источники угрозы информационной безопасности

Техногенные факторы, так же, как и стихийные бедствия, носят непредсказуемый характер. В отличие от природных факторов они возникают в результате деятельности человека, но в отличие от субъектной разновидности угрозы информационной безопасности являются обезличенными. Техногенные катастрофы, как правило, связаны с авариями на предприятиях и на транспорте, с выходом из строя оборудования и т.п.

Сбои в работе информационной системы являются вторичными факторами таких катастроф, но иногда более существенными по нанесенному ущербу. 

Внешние средства угрозы информационной безопасности:

  • коммуникационные сети;
  • инженерные сети;
  • транспортные средства.

Внутренние технические источники угрозы информационной безопасности:

  • бракованные и дефектные технические средства работы с информацией;
  • программно-аппаратные сбои в работе автоматизированной системы;
  • средства связи, охраны и т.п.;
  • прочие технические средства, применяемые на предприятии.

Стихийные источники угроз

Последняя группа источников угрозы информационной безопасности представляет собой силы непреодолимого действия – природные факторы. Подобные обстоятельства должны учитываться постоянно. Они носят вероятностный характер и наступают не часто. Сложность заключается в том, что бороться с ними не всегда возможно, поскольку они носят всеобщий характер. То есть под их действие, как правило, попадает не только информационная система предприятия, но и другие системы или товарно-материальные ценности. Если не получается предотвратить действия непреодолимых сил, то можно попробовать минимизировать их последствия и ущерб, нанесенный фирме. Универсальным средством защиты от природных катаклизмов является страхование ущерба. Это дополнительные затраты для бизнеса, но они с лихвой окупаются при наступлении страхового случая. При разработке политики информационной безопасности необходимо учитывать этот момент.

Угрозы информационной безопасности со стороны природных сил можно выделить в следующие категории:

  • пожары;
  • землетрясения;
  • наводнения;
  • ураганы;
  • различные непредвиденные обстоятельства;
  • необъяснимые явления;
  • другие форс-мажорные обстоятельства.

Как составить модель угрозы информационной безопасности компании

Модель угроз информационной безопасности – это комплексный подход и систематизация потенциальных угроз информационной безопасности и выбор методов и способов их нейтрализации.

Структура источников угрозы информационной безопасности состоит из следующих элементов:

  • общие характеристики источников;
  • способы воплощения угрозы информационной безопасности;
  • элементы информационной системы, подверженные угрозам;
  • потенциальные уязвимости в системе обработки информации;
  • методы воздействия на программно-аппаратные средства для причинения ущерба;
  • размеры ущерба и время, необходимое на его компенсацию.

Актуальная система нейтрализации угрозы информационной безопасности – это сложный комплекс организационных и технических мер, направленных на бесперебойное функционирование информационной системы. Специалист по информационной безопасности должен быть хорошо знаком с аппаратной частью и особенностями программного кода. Все операции, связанные с вводом/выводом и обработкой информации, должны быть строго регламентированы. Операции по их контролю также должны быть автоматизированы и регулярно сводиться в отчеты о произошедших ошибках и уязвимостях.

В зависимости от масштаба и сложности системы возникают разные типы угроз и уязвимостей. Их отслеживание – это динамический процесс. Нельзя написать один раз инструкцию по информационной безопасности и забыть об этом. В ходе работы системы и прохождения ею жизненных этапов цикла развития появляются новые и новые проблемы и возможности для злоумышленников и случайных ошибок.

Разработка политики снижения угрозы информационной безопасности подразделяется на несколько последовательных шагов

  1. Фиксация потенциальных точек уязвимостей.
  2. Разработка перечня жизненно важных элементов информационной системы.
  3. Разработка списка угроз для каждого стратегического элемента.
  4. Формирование способов нейтрализации угрозы информационной безопасности.
  5. Методика фиксации критериев угрозы информационной безопасности и подсчета убытков, возникших в результате ее наступления.

Как уже отмечалось выше, моделирование угрозы информационной безопасности – динамический процесс, который подлежит систематическому обновлению и актуализации.

Построение модели потенциальных нарушителей

Правонарушения в области информационных технологий, в конечном счете, совершаются определенным человеком (за исключением случаев стихийных факторов, создающих угрозы информационной безопасности). Поэтому вопрос безопасности в большей степени переходит в плоскость взаимоотношений между людьми и их поведением. Пользователи системы и ее персонал – неотъемлемая (даже можно сказать определяющая) часть информационной системы. Поэтому человеческий фактор точно также присутствует и в стратегии нейтрализации угрозы информационной безопасности.

Построение моделей потенциальных нарушителей, являющихся потенциально источником угрозы информационной безопасности – это важный психологический аспект для профилактики и выявления уязвимостей на ранних этапах их возникновения. Рассматриваются основные разновидности возникающей угрозы информационной безопасности, которые могут быть направлены на дезорганизацию работы системы с целью вывести ее из строя на максимально возможный срок. Замена и подлог ключевых информационных ресурсов, затрудняющие обработку информации и процесс принятия управленческих решений.

Хищение информации с целью ее использования в личных целях. Под каждый из этих видов нарушения составляется определенный психологический и типологический портрет правонарушителя, и на его основе разрабатываются методы борьбы. Собирается статистика правонарушений, выявляются общие слабые места для данного типа угрозы информационной безопасности.

Типизация злоумышленников упрощает работу службе информационной безопасности. Известны особенности их поведения, места возникновения угрозы и атак. Заранее предпринимаются действия для того, чтобы снизить риск от действий

Модель потенциальных правонарушителей определяется следующими элементами:

  • разработка категорий субъектов правонарушений в области угрозы безопасности;
  • классификация мотивов противоправных действий;
  • систематизация категорий правонарушителей по уровню квалификации и технической подготовки к совершению действий, представляющих угрозы информационной безопасности;
  • ранжирование потенциальных преступных действий по уровню их воздействия на информационную систему предприятия и размеру нанесенного ущерба.

Злоумышленников можно подразделить на две категории: резиденты информационной системы – это пользователи, имеющие санкционированный доступ (логин и пароль) к информационной системе для совершения допустимых транзакций; нерезиденты – это сторонние субъекты, которые осуществляют доступ к информационным ресурсам системы путем взлома системы безопасности или нелегитимного использования аккаунтов зарегистрированных пользователей.

Внутренним нарушителем является резидент информационной системы, имеющий доступ для выполнения некоторых действий:

  • зарегистрированные пользователи системы;
  • технический персонал;
  • отдел разработки программного обеспечения и администрирования;
  • структура обеспечения конфиденциальности данных;
  • управленческий состав фирмы.

Посторонние лица, заинтересованные в незаконном доступе к информационной системе:

  • обслуживающий персонал, имеющий физический доступ к аппаратным средствам информационной системы, но не предназначенный для ее прямого обслуживания;
  • контактные аудитории, связанные с деятельностью фирмы;
  • клиенты и покупатели фирмы, которые могут получить доступ к информационной системе в гостевом режиме;
  • сотрудники коммунальных служб, осуществляющих обслуживание здания, в котором находится серверное оборудование;
  • шпионы конкурентов и других организаций, заинтересованных в нанесении ущерба;
  • нарушители пропускного режима территории, где можно получить доступ к информационной системе;
  • прочие лица, способные стать источниками угрозы информационной системы.

Мотивы нарушений субъектов угрозы информационной безопасности

  • халатность;
  • демонстрация технических возможностей;
  • хулиганство;
  • действие по воле третьих лиц;
  • ответные меры на какие-либо действия организации;
  • извлечение прибыли;
  • несогласие с миссией фирмы.

Халатность характеризуется небрежностью и безалаберностью по отношению к своим должностным обязанностям технического персонала. В этом случае может отсутствовать злой умысел, но, тем не менее, остается ущерб, нанесенный фирме.

Демонстрация технических возможностей преобладает у людей с повышенными амбициями, либо с целью рекламы своих возможностей и дальнейшего выполнения преступных заказов на взлом информационных систем конкурентов. Этот мотив очень часто перекликается с хулиганскими побуждениями.

Угрозы информационной безопасности возникают и в результате психологического воздействия на пользователей системы с целью заставить их совершить противоправные действия в отношении нужной для злоумышленников информации. Такие действия могут быть совершены под воздействием шантажа, запугивания, мести и т.п.

Классификация злоумышленников
По уровню знаний
  • близкое знакомство с процессами и транзакциями, происходящими в базе данных; хорошее знание структуры информационной систем, количества и иерархии пользователей и т.п.;
  • высококлассный специалист в области аппаратных средств, применяемых при разработке и построении информационных систем;
  • высокий уровень знаний в сфере разработки программных средств для работы с массивами данных и информационными системами;
  • знаком с методами и способами борьбы с угрозами информационной безопасности.
По уровню возможностей технической и программной подготовки к взлому системы
  • использование пользователей информационной среды как агентов для получения нужного результата;
  • использование немодифицирующих методов угрозы информационной безопасности;
  • использование уязвимостей системы штатными методами ввода/вывода данных;
  • использование активных шпионских методов сбора информации и/или модификации базы данных.

По времени действия

  • во время активной фазы работы информационной системы (во время рабочего дня);
  • в неактивной фазе (ночное время, выходные дни, техническое обслуживание системы и т.п.);
  • комбинированное воздействие в активной и в пассивной фазе информационной системы.

По месту действия

  • вне физического доступа на территорию организации;
  • на территории организации вне доступа к офисам и серверным помещениям;
  • на территории здания без прямого доступа к программно-аппаратным ресурсам;
  • непосредственно за персональным компьютером резидента информационной системы;
  • расширенный доступ (выше пользовательского уровня) к базам данных;
  • доступ с нейтрализацией средств борьбы с угрозами информационной безопасности.

Ограничения и предположения о потенциальных действиях сотрудников

  • работа службы кадровой безопасности в целях предотвращения несанкционированных, в том числе организованных вредоносных действий со стороны сотрудников;
  • правонарушитель будет маскировать свои несанкционированные действия от других сотрудников.

Как еще нейтрализовать угрозы информационной безопасности на предприятии

С технологической точки зрения используется дублирование информации разнообразными способами. Бесперебойное питание должно быть обеспечено круглосуточно с целью защитить информационную систему, как от скачков напряжения, так и от простоев в работе в течение рабочего дня.

Для обеспечения программной безопасности внедряются в первую очередь средства борьбы с вирусными атаками, кодирование информации для обеспечения ее сохранности и для затруднения доступа к информационной безопасности.

С точки зрения физической сохранности, надо обезопасить компьютер от кражи. Информация может попасть к злоумышленникам путем кражи диска или другого съемного носителя информации, который находится в незащищенном месте.

Кража системного блока или его несанкционированное включение может также стать причиной потери информации в системе управления фирмой. Здесь можно предложить использовать системные блоки с кнопкой включения, подстрахованной обычным металлическим ключом, без которого он не заработает. Кроме того, можно зафиксировать на рабочем месте аппаратные средства, которые могут быть элементом угрозы информационной безопасности в случае их хищения.

Комплект для защиты компьютерной техники должен содержать средства антивандальной защиты от прямого физического доступа. Технический персонал, обслуживающий информационную систему, должен предусмотреть средства, не допускающие несанкционированный доступ к элементам компьютера и средствам оргтехники. Злоумышленник должен потратить много времени для того, чтобы завладеть той или иной интересующей его деталью. За это время служба безопасности или пользователи информационной системы могут заметить непонятные действия и почувствовать возникшие угрозы информационной безопасности

Обеспечение безопасности для компакт-дисков, вставленных в системный блок, может быть осуществлено посредством механических или электромеханических запоров на торце привода соответствующего диска. Эти, примитивные на первый взгляд, меры эффективно могут защитить вашу информационную систему от злоумышленника не готового к таким способам защиты.

Для защиты от постороннего взгляда используется принцип размытия изображения и сокращения угла зрения, под которым информация остается читаемой на экране монитора. Технически это можно осуществить с помощью специальных жалюзи, сокращающих угол обзора и позволяющих видеть изображение только пользователю, сидящему непосредственно перед монитором. Также для этих целей продаются специальные многослойные пленчатые фильтры. Наконец, самый удобный способ – это заранее озаботится покупкой специальных мониторов с малым углом обзора.

Системный блок, а в некоторых случаях и его составляющие, могут быть защищены специальными датчиками, которые реагируют на движение или изменение положения защищенного предмета. В случае срабатывания датчика происходит активация автономной (энергонезависимой) сирены, оповещающей службу безопасности о несанкционированном вмешательстве, или же сигнал приходит непосредственно на пульт диспетчера службы безопасности, который дает команду охранникам на выяснение ситуации в зафиксированном объекте.

Слот безопасности – это силовой ключевой разъем, который позволяет закрепить ноутбук специальным металлическим тросиком к соответствующему разъему на столе или на стене помещения. Дополнительно к слоту безопасности ноутбук может быть оснащен датчиком движения и сиреной, которая включается, например, на время простоя ноутбука и выключается после ввода пароля для входа в систему.

Техническое обеспечение информационной безопасности бизнеса от угроз

Компьютерные сети, организованные в рамках одной организации, снабжаются датчиком движения или датчиком удара, который реагирует на вскрытие крышки системного блока. Такие датчики монтируются на каждый компьютер и соединяются в сеть безопасности, которая замыкается на центральном блоке управления. Блок управления реагирует на поступающие сигналы от датчиков безопасности и ретранслирует их на пульт управления охранника, который принимает меры для нейтрализации угрозы информационной безопасности.

Техногенные катастрофы и стихийные бедствия могут стать причиной потери значительных объемов информации и разрушения структуры базы данных. Например, мощный электронный импульс (от какого-либо промышленного оборудования) может вывести из строя жесткий диск компьютер, находящегося в радиусе его действия. Если оказываются пораженными несколько компьютеров, то это может надолго застопорить работу фирмы и создать серьезную угрозу информационной безопасности.

Пожар, случившийся в офисе или даже в соседнем помещении, с высокой долей вероятности приведет к выходу из строя компьютеров и оргтехники. На этот случай предусмотрены решения (весьма дорогостоящие) исполнения компьютерных элементов и системных блоков в жароустойчивых комплектациях, способных выдержать температуры более тысячи градусов по шкале Цельсия.

Физическая защита – это лишь первый рубеж нейтрализации источников угрозы информационной системы. Надежные замки и датчики движения способны остановить банального воришку, который технически подготовлен лишь к тому, чтобы схватить системный блок или диск с данными и вынести его с охраняемой территории. Дальше идут следующие барьеры, обеспечивающие более высокий уровень защиты.

Шифрование. Самый широко распространенный и универсальный метод защиты информации – это шифрование. К его плюсам относится возможность создать шифр практически любой сложности, который потребует соответствующих затрат времени и ресурсов на его вскрытие. Шифрование позволяет передавать информацию даже по незащищенным каналам, поскольку она не может быть прочитана при отсутствии дешифрующего ключа.

Криптографические методы – это методика преобразования исходной полезной информации в набор несвязанных символов, которые, тем не менее, являются носителями зашифрованной информации. Главный принцип криптографии – создание ключа достаточной сложности для того, чтобы затраты на его расшифровку были сопоставимы или выше, чем ценность самой информации. Согласно принципу Керкхоффа – основой любой криптограммы является ключ. Он представляет собой буквенно-цифровой файл определенной длины, который позволяет отправителю превратить исходное послание в шифр, а получателю произвести обратный процесс и увидеть сообщение. Если ключ попадет в руки злоумышленников, то это будут критической стадией угрозы информационной безопасности. Чтобы этого избежать, ключ периодически изменяется.

Шифрование осуществляется за счет программных или программно-аппаратных средств, вынесенных в единый модуль. Такой способ очень неудобен для пользователей. Поэтому разработчики идут по пути встраивания шифровального модуля в основной программный код, или даже в операционную систему. В любом случае, такая методика защиты информации является очень неудобной для пользователей и в большинстве случаев они от нее отказываются.

В настоящее время используются открытые стандартизованные каналы для шифрования, например: DES, IDEA и др.). Сложность заключается только в том, что оба конца канала передачи информации должны иметь шифровальный ключ. Если же каналом пользуются более двух пользователей, то количество ключей возрастает в нелинейной зависимости (два пользователя – один ключ; десять пользователей – тридцать шесть ключей; тысяча пользователей – четыреста девяносто восемь тысяч пятьсот один ключ).

Способ открытого распределения ключей. Каждый из пользователей каналов для передачи зашифрованных данных может использовать свой собственный индивидуальный ключ, сгенерированный случайным образом с помощью специальной программы. Затем этот ключ хранится в секретном месте известном только одному пользователю. Перед отправкой сообщения соответствующий ключ передается адресату прежде, чем он получит сообщение. Еще проще составить каталог ключей и затем рассылать его, заверив цифровой подписью.

Как на предприятии выстроить систему, которая устранит угрозы информационной безопасности

Внедрение информационных технологий в работу организации с одной стороны повышает ее эффективность, а с другой стороны заставляет руководство принимать во внимание возникающие угрозы информационной безопасности. Безопасность информационных процедур должна входить в глобальную структуру безопасности предприятия.

В работе службы безопасности бывают две крайности.

Позиция 1. Всеобъемлющий и беспрекословный регламент на выполнение любого действия, вплоть до включения/выключения компьютера и запуска нужной программы. Отсутствие доступа во внешнюю сеть, криптографическая защита всех внутренних переписок, личный контроль системного администратора за работой всех сотрудников. Идеальный вариант с точки зрения безопасности, но проблема с эффективностью и маневренностью бизнеса как такового.

Позиция 2. Безопасность низложена в угоду оперативности работы информационной системы. Такой подход грозит компьютерными вирусами, доступом посторонних людей к базе данных и потерей ключевых документов, являющихся коммерческой тайной.

Если владелец фирмы пошел по первому пути, то, скорее всего, он оказался на поводу у директора службы безопасности, для которого каждый сотрудник организации потенциальный преступник, а письма нужно отправлять не по электронной почте, а специальным курьером, имеющим подписку о неразглашении служебной тайны. Следование по второму пути наиболее вероятно, если ключевая фигура на предприятии - директор по развитию. Для него любое промедление в работе, вызванное соблюдением регламентов службы безопасности, является смертельным для продвижения бизнеса и заключения новых и новых важных контрактов. Руководитель компании должен учесть мнение обеих сторон, как с точки зрения средств и методов защиты, так и с точки зрения развития бизнеса.

Как выбрать инструменты для защиты информации

Системный администратор, владеющий полным современным арсеналом средств технической защиты информации, тем не менее, сможет отследить не более одной пятой части источников угрозы информационной безопасности. Львиная доля случаев угрозы информационной безопасности связана непосредственно с сотрудниками. Здесь профилактикой будет кадровая безопасность и здоровый микроклимат в коллективе.

IT-инструменты

Для работы в простейших офисных приложениях нет необходимости создавать развитую структуру информационной безопасности. Достаточно простых мер в виде антивирусного пакета и файервола (сетевого экрана). Краткий инструктаж персонала по использованию программ и потенциальным угрозам для фирмы и для них лично в случае нарушения принятых процедур завершит процесс нейтрализации угрозы информационной безопасности. Если же в работе организации используются сложные сетевые продукты для обработки информации, то необходимо более тщательно подойти к выработке политики конфиденциальности информации.

Можно выделить ряд важных критериев.

  1. Бизнес связан с информационными технологиями.
  2. Успешное выполнение бизнес-процессов возможно только с применением специфических программных продуктов.
  3. Объем базы данных огромен и требует существенных ресурсов для поддержания ее работоспособности.

Не забывайте еще два критерия, увеличивающих угрозы информационной безопасности.

  1. Высокая рентабельность.
  2. Существенные средневзвешенные затраты на содержание службы информационной безопасности.

Если вы попадаете хотя бы под один из этих пунктов, то вам надо серьезно озаботиться проблемой информационной безопасности, как с технической, так и с юридической точки зрения. Это поможет в дальнейшем избежать проблем и с конкурентами, и с надзорными органами.

Работа с сотрудниками

Сотрудники компании могут быть как целенаправленными злоумышленниками, так и невольными нарушителями норм информационной безопасности.

Чтобы снизить угрозы информационной безопасности, нужно проводить специальную работу с персоналом в следующих аспектах: профилактическая разъяснительная работаc; моральная и материальная поддержка сотрудников на повышение доверия к компании.

Лояльные, но не профессиональные пользователи будут иметь низкую производительность труда, и, наоборот, профессиональные, но не лояльные пользователи будут нести высокие угрозы информационной безопасности. Баланс этих двух качеств – основа безопасности.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа руководителя

Школа руководителя

Проверьте свои знания и приобретите новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Станьте читателем уже сейчас

Живое общение с редакцией

А еще...



Доставка новостей@

Оформите подписку, чтобы не пропустить свежие новости

150 000 + ваших коллег следят за нашими новостями





© 2011–2016 ООО «Актион управление и финансы»

Журнал «Генеральный Директор» –
профессиональный журнал руководителя

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Генеральный Директор». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.


  • Мы в соцсетях
Зарегистрируйтесь на сайте и продолжите чтение! Это бесплатно и займет всего минуту!

Вы сможете бесплатно продолжить чтение этой статьи, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • библиотека Генерального Директора
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте и документ Ваш! Это бесплатно и займет всего минуту!

Вы сможете бесплатно скачать документ, а также получите доступ к сервисам на сайте для зарегистрированных пользователей:

  • методики, проверенные на практике
  • библиотека Генерального Директора
  • правовая база
  • полезные подборки статей
  • участие и просмотр вебинаров

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль