Почему свои сотрудники являются самой массовой категорией нарушителей безопасности?
Пользователи системы и её персонал, с одной стороны, являются составной частью, необходимым элементом АС. С другой стороны, они же являются основным источником угроз и движущей силой нарушений и преступлений.
На следующей диаграмме приведены результаты анализа нарушений и проблем с ИТ, проведённого Институтом компьютерной безопасности (Computer Security Institute).
o Ошибки персонала (55%)
o Нечестные сотрудники (10%)
o Обиженные сотрудники (9%)
o Отказы и сбои в работе ТС, включая проблемы электропитания (20%)
o Вирусы (4%)
o Внешние нападения (2%)
Как видно, более половины (55%) проблем возникает из-за ошибок пользователей и обслуживающего персонала системы. К этому надо добавить нарушения со стороны обиженных (9%) и нечестных (10% нарушений) сотрудников организаций.
Согласно одному из последних обзоров аналитического подразделения журнала The Economist, информационная безопасностьявляется одной из самых приоритетных проблем для 78% из 254 опрошенных по всему миру первых лиц компаний. Респонденты признавали, что большую часть проблем создают сами сотрудники корпораций. По статистике опроса, источник 83% проблем с безопасностью находится внутри компании.
Сотрудники Компании являются самой массовой категорией нарушителей в силу их многочисленности, наличия у них санкционированного доступа на территорию, в помещения и к ресурсам системы, разнообразия мотивов совершения разного рода небезопасных действий. Причём подавляющее большинство нарушений со стороны сотрудников носит неумышленный характер. Однако, ущерб, который они при этом наносят Компании, весьма значителен. Именно поэтому борьба с ошибками пользователей и обслуживающего персонала АС является одним из основных направлений работ по обеспечению безопасности.
|
|
|
Итак, цель защиты ИТ - это минимизация рисков для субъектов. Защита (обеспечение безопасности) ИТ - это непрерывный процесс управления рисками, связанный с выявлением информационных активов (ценностей), подлежащих защите, определением стоимости этих активов, размеров ущерба и риска, разработкой плана действий по защите и выбором технологий, реализующих этот план.
На практике это означает сведение всех значимых для субъектов угроз к допустимому (приемлемому) уровню остаточного риска, и защиту наиболее важных (критичных) информационных ресурсов исходя из существующих возможностей и предоставленных финансовых средств.
Выводы
Уязвимыми являются буквально все основные структурно - функциональные элементы современных АС. Защищать компоненты АС необходимо от всех видов воздействий: стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и пользователей, ошибок в программах и от преднамеренных действий злоумышленников.
|
|
|
Имеется широчайший спектр вариантов (путей) преднамеренного или случайного несанкционированного доступа к данным и вмешательства в процессы обработки и обмена информацией (в том числе, управляющей согласованным функционированием различных компонентов сети).
Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и т.п. характеристики - важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.
Обеспечение безопасности ИТ - это многоплановая деятельность, связанная с выявлением информационных активов (ценностей), подлежащих защите, определением стоимости этих активов, размеров ущерба и риска, разработкой плана действий по их защите и выбором технологий, реализующих этот план.
Виды мер и основные принципы обеспечения безопасности информационных технологий
Виды мер противодействия угрозам безопасности
Целью рассмотрения данной темы является обзор видов известных мер противодействия угрозам безопасности АС (контрмер), а также основных принципов построения систем защиты информации.
|
|
|
По способам осуществления все меры защиты информации, её носителей и систем её обработки подразделяются на:
o правовые (законодательные);
o морально-этические;
o организационные (административные и процедурные);
o технологические;
o физические;
o технические (аппаратурные и программные).
Правовые (законодательные)
К правовым мерам защиты относятся действующие в стране законы, указы и другие нормативные правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе её получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом АС.
Морально-этические
К морально-этическим мерам защиты относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как требования нормативных актов, однако, их несоблюдение ведёт обычно к падению авторитета или престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала АС.
|
|
|
Организационные
Организационные меры защиты - это меры административного и процедурного характера, регламентирующие процессы функционирования системы обработки данных, использование её ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей и обслуживающего персонала с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Технологические
К данному виду мер защиты относятся разного рода технологические решения и приёмы, основанные обычно на использовании некоторых видов избыточности (структурной, функциональной, информационной, временной и т.п.) и направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примером таких мер является использование процедур двойного ввода ответственной информации, инициализации ответственных операций только при наличии разрешений от нескольких должностных лиц, процедур проверки соответствия реквизитов исходящих и входящих сообщений в системах коммутации сообщений, периодическое подведение общего баланса всех банковских счетов и т.п.
Меры физической защиты
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу относятся также меры и средства контроля физической целостности компонентов АС (пломбы, наклейки и т.п.).
Технические
Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты.
Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на рисунке
рисунок - Взаимосвязь мер обеспечения информационной безопасности
1 - нормативные и организационно-распорядительные документы составляются с учётом и на основе существующих норм морали и этики.
2 - организационные меры обеспечивают исполнение существующих нормативных актов и строятся с учётом существующих правил поведения, принятых в стране и/или организации.
3 - воплощение организационных мер требует разработки соответствующих нормативных и организационно-распорядительных документов, не противоречащих нормам правовых мер.
4 - для эффективного применения организационные меры должны быть поддержаны физическими и техническими средствами.
5 - применение и использование технических средств защиты требует соответствующей организационной поддержки.
Дата добавления: 2022-01-22; просмотров: 23; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!