Статья опубликована в рамках: LXXIII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 17 января 2019 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
дипломов
АСПЕКТЫ ВНУТРЕННЕЙ КОРПОРАТИВНОЙ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Информационные технологии прочно вошли в бизнес, образование, производство, открыв человеку небывалые возможности в достижении высоких скоростей получения и обработки информации, автоматизации производственных, управленческих и иных процессов.
Глобальное проникновение информационных технологий в нашу жизнь, постепенный переход к электронным способам ведения бизнеса ставят перед участниками рынка новые задачи по обеспечению информационной безопасности [1, с. 12].
Всеобщая информатизация сопровождается ростом числа компьютерных преступлений и, как следствие, материальных потерь. Согласно отчетам МВД Росси за последние три года количество правонарушений в области информационных технологий выросло более чем в 63 раза, а число инцидентов, связанных с несанкционированным доступом к компьютерной информации, увеличилось в 30 раз. Поэтому информационная безопасность стала обязательным условием ведения современного бизнеса.
Под угрозой информационной безопасности понимается случайное или преднамеренное явление, событие, действие или процесс, которые могут привести к искажению, несанкционированному использованию или к уничтожению информационных ресурсов информационной системы, используемых программных и технических средств (например, неправильные действия обслуживающего персонала, хакерские атаки, действие компьютерного вируса, несанкционированный доступ к служебной документации, подслушивание коммерческих переговоров и т.д.) (Рисунок 1) [2, с. 12].
Реализация угроз информационной безопасности заключается в частичном или полном нарушении работоспособности информационной системы, утрате ценности или частичном обесценивании информации в случае нарушения:
а) конфиденциальности (при хранении и распространении информации);
б) целостности (при изменении или уничтожении информации);
в) доступности информации (в случае неполучения или несвоевременного получения информации легальным пользователем).
Рисунок 1. Информационные угрозы и их виды [2, с. 19].
Информационная безопасность в каждой конкретной компании основывается на принятой политике безопасности, то есть на наборе норм, правил, практических приемов, определяющих порядок передачи и преобразования защищаемой информации. Политика безопасности разрабатывается исходя из определенной модели нарушителя, где конкретизируется кто, какими средствами и с использованием каких знаний может реализовать угрозы и нанести ущерб объекту. Если под объектом понимать корпоративную автоматизированную информационную систему (АИС), то в первом приближении нарушителей можно классифицировать относительно объекта на внутренних и на внешних. В данной статье мы попытаемся сформулировать набор практических приемов для защиты от внутреннего нарушителя, опираясь на опыт зарубежных стран и России.
Исследования внутренних угроз должны строиться на всех актуальных аспектах компрометации данных внутренними нарушителями: техническом и поведенческом [4, с. 103].
Внутренним нарушителем может быть человек, работающий в настоящее время или в прошлом по найму или по контракту, который имеет или имел авторизованный доступ к корпоративной системе и сети, он включен во внутреннюю систему правил и технических процедур. Эти знания делают его очень опасным для безопасности организации, так как он может использовать их для деструктивных действий самостоятельно или с привлечением внешних и внутренних нарушителей. Тем самым внутренний нарушитель обладает значительным преимуществом перед всеми остальными группами злоумышленников. Он может преодолеть организационные и технические меры безопасности, разработанные для предотвращения нее санкционированного доступа, механизмы, такие, как шлюз, системы обнаружения атак и электронные встроенные системы ограничения доступа, обеспечивающие изначально защиту против внешних угроз.
Атаки внутреннего нарушителя могут быть предотвращены только благодаря эшелонированной системе информационной безопасности и стратегии, состоящей из правил, процедур и технического контроля.
Следовательно, руководство компании должно уделить особое внимание на многие аспекты в организации, включая собственные бизнессправила и процедуры, организационную культуру и техническое окружение. Руководство должно всеобъемлюще взглянуть на информационные технологии в бизнесспроцессах организации, взаимодействие между этими процедурами и используемыми технологиями.
Процесс поддержания информационной безопасности должен носить постоянный характер и поддерживается руководством. Часто даже хорошо настроенная система безопасности, лишенная поддержки и понимания важности руководства из-за того, что на протяжении времени не было деструктивной активности, приходит в упадок и не может более противостоять внутренним и внешним угрозам. Одна из уязвимостей основывается на знании внутреннего нарушителя качества защиты в организации [3, с. 29].
Инструкция 1: Установить в компании таблицу ценностей и доступа к ним каждого сотрудника исходя из его служебных обязанностей.
Инструкция 2: Организовать периодические занятия для всех служащих по повышению уровня их квалификации в информационной безопасности.
Инструкция 3: Определить требования к применяемым паролям и политику управления учетными записями в корпоративных системах.
Инструкция 4: Журналирование, мониторинг и аудит в режиме реального времени действий сотрудников.
Инструкция 5: Использовать дополнительные меры предупреждения для системных администраторов и привилегированных пользователей.
Внедрение данных инструкций независимо от принадлежности сферы информационной инфраструктуры позволит существенно снизить риск от действий внутреннего нарушителя.
Список литературы:
- Белянцев А.Е. Информационная безопасность как важнейший фактор государственной информационной политики Российской Федерации // Вестник академии военных наук. - 2015. - № 3. С. 79-84.
- Емельянов А.А. Опыт реализации политики информационной безопасности на предприятии малого бизнеса в целях обеспечения информационно-экономической безопасности // Информационная безопасность регионов России (ИБРР-2015) Материалы конференции. - 2015. - С. 213-214.
- Крупко А.Э. Политика информационной безопасности: состав, структура, аудит информационной безопасности ФЭС//Финансы. Экономика. - 2015. - № 8. С. 27-32.
- Чеботарева А.А. Информационная безопасность личности в условиях современных вызовов и дисбаланса международной информационной политики // Вестник Академии права и управления. 2015. - № 2. - С. 103-108.
дипломов
Оставить комментарий