АСПЕКТЫ ВНУТРЕННЕЙ КОРПОРАТИВНОЙ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Информационные технологии прочно вошли в бизнес, образование, производство, открыв человеку небывалые возможности в достижении высоких скоростей получения и обработки информации, автоматизации производственных, управленческих и иных процессов.

Глобальное проникновение информационных технологий в нашу жизнь, постепенный переход к электронным способам ведения бизнеса ставят перед участниками рынка новые задачи по обеспечению информационной безопасности [1, с. 12].

Всеобщая информатизация сопровождается ростом числа компьютерных преступлений и, как следствие, материальных потерь. Согласно отчетам МВД Росси за последние три года количество правонарушений в области информационных технологий выросло более чем в 63 раза, а число инцидентов, связанных с несанкционированным доступом к компьютерной информации, увеличилось в 30 раз. Поэтому информационная безопасность стала обязательным условием ведения современного бизнеса.

Под угрозой информационной безопасности понимается случайное или преднамеренное явление, событие, действие или процесс, которые могут привести к искажению, несанкционированному использованию или к уничтожению информационных ресурсов информационной системы, используемых программных и технических средств (например, неправильные действия обслуживающего персонала, хакерские атаки, действие компьютерного вируса, несанкционированный доступ к служебной документации, подслушивание коммерческих  переговоров и т.д.) (Рисунок 1) [2, с. 12].

Реализация угроз информационной безопасности заключается в частичном или полном нарушении работоспособности информационной системы, утрате ценности или частичном обесценивании информации в случае нарушения:

а) конфиденциальности (при хранении и распространении информации);

б) целостности (при изменении или уничтожении информации);

в) доступности информации (в случае неполучения или несвоевременного получения информации легальным пользователем).

Рисунок 1. Информационные угрозы и их виды [2, с. 19].

Информационная безопасность в каждой конкретной компании основывается на принятой политике безопасности, то есть на наборе норм, правил, практических приемов, определяющих порядок передачи и преобразования защищаемой информации. Политика безопасности разрабатывается исходя из определенной модели нарушителя, где конкретизируется кто, какими средствами и с использованием каких знаний может реализовать угрозы и нанести ущерб объекту. Если под объектом понимать корпоративную автоматизированную информационную систему (АИС), то в первом приближении нарушителей можно классифицировать относительно объекта на внутренних и на внешних. В данной статье мы попытаемся сформулировать набор практических приемов для защиты от внутреннего нарушителя, опираясь на опыт зарубежных стран и России.

Исследования внутренних угроз должны строиться на всех актуальных аспектах компрометации данных внутренними нарушителями: техническом и поведенческом [4, с. 103].

Внутренним нарушителем может быть человек, работающий в настоящее время или в прошлом по найму или по контракту, который имеет или имел авторизованный доступ к корпоративной системе и сети, он включен во внутреннюю систему правил и технических процедур. Эти знания делают его очень опасным для безопасности организации, так как он может использовать их для деструктивных действий самостоятельно или с привлечением внешних и внутренних нарушителей. Тем самым внутренний нарушитель обладает значительным преимуществом перед всеми остальными группами злоумышленников. Он может преодолеть организационные и технические меры безопасности, разработанные для предотвращения нее санкционированного доступа, механизмы, такие, как шлюз, системы обнаружения атак и электронные встроенные системы ограничения доступа, обеспечивающие изначально защиту против внешних угроз.

Атаки внутреннего нарушителя могут быть предотвращены только благодаря эшелонированной системе информационной безопасности и стратегии, состоящей из правил, процедур и технического контроля.

Следовательно, руководство компании должно уделить особое внимание на многие аспекты в организации, включая собственные бизнессправила и процедуры, организационную культуру и техническое окружение. Руководство должно всеобъемлюще взглянуть на информационные технологии в бизнесспроцессах организации, взаимодействие между этими процедурами и используемыми технологиями.

Процесс поддержания информационной безопасности должен носить постоянный характер и поддерживается руководством. Часто даже хорошо настроенная система безопасности, лишенная поддержки и понимания важности руководства из-за того, что на протяжении времени не было деструктивной активности, приходит в упадок и не может более противостоять внутренним и внешним угрозам. Одна из уязвимостей основывается на знании внутреннего нарушителя качества защиты в организации [3, с. 29].

Инструкция 1: Установить в компании таблицу ценностей и доступа к ним каждого сотрудника исходя из его служебных обязанностей.

Инструкция 2: Организовать периодические занятия для всех служащих по повышению уровня их квалификации в информационной безопасности.

Инструкция 3: Определить требования к применяемым паролям и политику управления учетными записями в корпоративных системах.

Инструкция 4: Журналирование, мониторинг и аудит в режиме реального времени действий сотрудников.

Инструкция 5: Использовать дополнительные меры предупреждения для системных администраторов и привилегированных пользователей.

Внедрение данных инструкций независимо от принадлежности сферы информационной инфраструктуры позволит существенно снизить риск от действий внутреннего нарушителя.

Список литературы:

1. Белянцев А.Е. Информационная безопасность как важнейший фактор государственной информационной политики Российской Федерации // Вестник академии военных наук. - 2015. -  № 3. С. 79-84.
2. Емельянов А.А. Опыт реализации политики информационной безопасности на предприятии малого бизнеса в целях обеспечения информационно-экономической безопасности // Информационная безопасность регионов России (ИБРР-2015) Материалы конференции. - 2015. - С. 213-214.
3. Крупко А.Э.  Политика информационной безопасности: состав, структура, аудит информационной безопасности ФЭС//Финансы. Экономика. - 2015. - № 8. С. 27-32.
4. Чеботарева А.А.  Информационная безопасность личности в условиях современных вызовов и дисбаланса международной информационной политики // Вестник Академии права и управления. 2015. - № 2. - С. 103-108.