Безопасность информационных систем – защищенность данных и инфраструктуры, которая их поддерживает, от ненамеренных и специальных искусственных и естественных воздействий, способных нарушить целостность, доступность, конфиденциальность сведений.
В РФ задачи информационной безопасности прописаны в соответствующей Доктрине, которая была принята и используется как общая государственная стратегия борьбы с киберугрозами.
Разновидности угроз информационной безопасности
Кибербезопасность, вне зависимости от уровня ее реализации, должна быть реализована на основе трех основных моментов:
- конфиденциальность данных, их недоступность для посторонних лиц;
- целостность данных (невозможность их корректировки, замены, искажения третьими лицами);
- доступность данных (лица с соответствующими полномочиями должны иметь полный и постоянный доступ к информации).
Согласно российской Концепции информационной безопасности, государство (а, следовательно, общество и коммерческие структуры) видит перед собой следующие виды киберугроз:
- разведывательная деятельность спецслужб других стран, оказывающих негативное воздействие на информационную безопасность РФ;
- террористическая деятельность со стороны соответствующих группировок, их посягательство на информационные системы различного уровня;
- кадровый и профессиональный дефицит специалистов, которые решают задачи в сфере организации безопасности информационных систем.
Составляющие элементы информационной безопасности
Организации, которые заинтересованы в формировании высокоэффективной системы информбезопасности, должны принимать во внимание увеличение степени рисков. Технические возможности киберпреступников постоянно расширяются, зачастую быстрее, чем квалификация и умения специалистов по информационной безопасности.
Организация, которая хочет качественно обезопасить свои информационные системы, должна организовать трехуровневую защиту:
- Административный уровень. Организация принимает внутренние регламенты, которые формируют единый подход к задаче защиты информационных систем.
- Организационный уровень. Здесь требуется принятие методов, устанавливающих конкретные задачи для ответственных лиц.
- Технический уровень. Принятие и реализация программных, аппаратных решений.
Создание системы информационной безопасности
Формирование системы информационной безопасности происходит на базе ответов руководства организации, которые были даны на следующие вопросы:
- Требуется ли использование дополнительных защитных средств помимо стандартных?
- Тип информационных массивов, защита которых требуется?
- Какие лица наиболее заинтересованы во взломе сети организации?
- От каких разновидностей киберугроз требуется защита?
- Какие средства, программное обеспечение, технологии должны использоваться для защиты?
- Какие организационные структуры и подразделения будут обеспечивать эффективность выстроенной защиты в организации?
- Какой бюджет может быть выделен на создание, интеграцию, использование, обслуживание, модернизацию и развитие защиты информационных систем?
Надо ли защищаться и от кого?
Для небольших организаций вопросы информационной безопасности решаются с использованием обычных защитных средств, интегрированных в операционную систему: антивирусное ПО, приложения для фильтрации email, брандмауэры. Крупные организации, государственные учреждения должны быть заинтересованы в защите конфиденциальной клиентской информации, поэтому в таких ситуациях необходимо реализовывать меры, которые способны:
- минимизировать риски нарушения работы инфопространства;
- исключить стороннее воздействие на информационную систему организации;
- сформировать защиту от несанкционированного доступа к конфиденциальным данным за счет нахождения и устранения попыток злоумышленников эксплуатации ресурсов информационного пространства, которые могут сказаться на его целостности;
- построить защитный барьер от интеграции вредоносного кода и ПО в техсредства и программные продукты.
Для каждой организации модель киберугроз строго индивидуальна. По статистике, основную опасность представляют сторонние киберпреступники, заинтересованные в похищении конфиденциальной информации, компрометации корпоративной сети, краже денег.
При этом хищения конфиденциальных данных зачастую происходят и со стороны сотрудников организации – они организовывают утечка информации. Наибольшая потенциальная опасность исходит от работников организации, которые имеют высокие привилегии и полномочия в системе, а также располагаются возможностью не только хищения конфиденциальной информации, но и скрытия следов своих действий.
Как выстраивается система безопасности?
Организации, заинтересованные в защите корпоративной сети и конфиденциальных данных, зачастую по совету IT-специалистов покупают популярные программные продукты без анализа реального соответствия предлагаемого программного обеспечения задачам информационной безопасности.
Поэтому должна быть разработана стратегия реализации мероприятий по защите информационных систем. Сначала должны быть определены степени и группы защищаемых данных, а также круг лиц, который будет нести ответственность за их защиту и располагающих доступом к ним. Обязательно требуется разработка следующих видов документации:
- регламент безопасности по взаимодействию с корпоративными данными;
- регламент работы с интернетом и сторонними почтовыми сервисами;
- регламент использования носителей данных, процедуры контроля их эксплуатации;
- регламент использования бумажной документации, ее сохранности;
- регламент использования ксероксных, принтерных, копировальных систем;
- приказ о наличии в организации режима защиты коммерческой тайны;
- документ со списком информационных ресурсов, которые относятся к коммерческой тайне (в него должны быть добавлены персональные данные);
- трудовые договоры с сотрудниками, в которых будет прописано условие несения ответственности за разглашение коммерческой тайны.
