ВАЖНОСТЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Введение
Данные, хранящиеся в информационной базе любой организации следует защищать как за счёт технических средств, так и за счёт организационных мер. Очень важно выявлять внешние и внутренние угрозы безопасности, пресекая попытки несанкционированного доступа.
Защиты в первую очередь требуют следующие данные:
финансовые документы;
результаты экспериментов и исследований, разработки новых технологий;
пароли и ключи доступа к данным;
персональная информация о пользователях;
- сведения о клиентах и поставщиках.
Для защиты данных в организациях создаются службы информационной безопасности, которые ищут уязвимости в системе, а также разрабатывают и осуществляют организационно-технические и программно-аппаратные меры по обеспечению защиты данных.
Требования к защите информации
Информационная защита должна отвечать требованиям государственного законодательства и общей политики безопасности и быть:
Комплексной. Учитывать любые виды возможных нарушений безопасности данных;
- Многоступенчатой. Информация подразделяется по степени важности, а ее защита усложняется по мере возрастания ценности сведений;
Надежной. Необходимо применение методов защиты, соразмерных с серьезностью угроз;
Стабильной. Средства защиты должны работать в постоянном режиме при любых внештатных ситуациях;
Разумной. Предпринимаемые меры не должны отражаться на скорости обработки данных, а также использование программных средств не должно приводить к искажению и утрате сведений, разглашению служебных тайн и персональных данных.
Меры по защите информации
К организационным мерам относятся:
Создание инструкций по использованию компьютерной техники, обработке и хранению информации;
- Знакомство персонала с правовыми и этическими нормами, касающимися информационной сферы;
- Составление трудовых договоров, в которых говорится об ответственности за нарушение правил работы с данными;
- Разработка правил использования и хранения бумажной и электронной документации;
- Разграничение доступа пользователей к информации и наблюдение за их действиями в сети.
Технические меры:
Монтирование системы резервного электропитания, а также принятие мер пожаробезопасности и защиты от стихийных бедствий;
- Монтирование устройства сигнализации, видеонаблюдения, предотвращения доступа посторонних на территорию предприятия;
- Приобретение программно-технических устройства для резервного копирования;
- Своевременного уничтожения данных в случае необходимости.
Меры программно-аппаратной защиты:
- Приобретение, установка и обновление программного обеспечения для безопасного сбора, хранения и обработки информации;
- Разработка методов обнаружения и предотвращения компьютерных угроз;
- Установка программ идентификации и аутентификации сотрудников;
- Контроль активности использования приложений;
- Шифрование данных, передаваемых по информационным каналам.
Угрозы информационной безопасности
Несанкционированное распространение данных может быть вызвано некомпетентность сотрудников в вопросах обеспечения информационной безопасности или пренебрежением сотрудниками правил работы на служебных компьютерах. В случаи посещения нежелательных сайтов, запуска неразрешённых приложений или использовании служебной почты в личных целях может возникнуть риск распространения информации, открытия фишинговых ссылок или заражения вирусом рабочего компьютера.
Использование нелицензионного программного обеспечения опасно из-за отсутствует возможность обновления ПО, невозможности проверки подлинности приложений и отсутствия технической поддержки со стороны разработчиков. Всё это может привести к угрозе информационной безопасности.
Затраты на информационную безопасность
Руководству в первую очередь интересно какую сумму необходимо будет затратить для внедрение тех или иных решений по защите информации и их дальнейшего обслуживания, а также сколько времени это займёт. Однако специалисту зачастую бывает сложно сразу же назвать конкретную сумму и временной период.
Одну и ту же проблему можно решить разными способами. И задача специалиста по информационной безопасности решить какие способы будут наиболее оптимальны для решения конкретных задач с учётом денежных и временных затрат.
Информационная безопасность в коммерческих организациях и государственных учреждениях
В коммерческих организациях специалист по информационной безопасности должен получить максимальную эффективность при минимальных затратах. Однако масштабы выбора средств и методов защиты они вольны определять сами.
В государственных учреждениях специалист по информационной безопасности ограничен бюджетом, выделяемым вышестоящими уровнями и нормативными требованиями, обязывающими применять только сертифицированные технические и программные средства. Начиная от VPN- шлюзов для ведомственной сети и заканчивая специальными нормами по защите персональных данных, вся инфраструктура выстраивается под выполнения этих требований. Однако, специалист по информационной безопасности, проведя анализ, может определить набор оптимальных методов и средств для защиты информации даже с учётом этих ограничений.
Итог
Неважно, коммерческая компания или государственное учреждение, бюджет, выделенный на информационную безопасность, в любом случаи будет складываться из затрат на специалистов по безопасности и привлекаемые ими ресурсы. При грамотном финансовом планировании и оценки эффективности внедряемых средств, можно выбрать наиболее оптимальное решение и существенно сэкономить на финансовых затратах в информационной безопасности.