Основные методы защиты предприятия-участника ВЭД от источников угроз информационной безопасности

Методов защиты предприятия-участника ВЭД от источников угроз информационной безопасности великое множество, но эффективных мало. Следует привести примеры тех методов, которые эффективно защищают информацию предприятия.

С технологической точки зрения используется дублирование информации разнообразными способами. Бесперебойное питание должно быть обеспечено круглосуточно с целью защитить информационную систему, как от скачков напряжения, так и от простоев в работе в течение рабочего дня.

Для обеспечения программной безопасности внедряются в первую очередь средства борьбы с вирусными атаками, кодирование информации для обеспечения ее сохранности и для затруднения доступа к информационной безопасности.

С точки зрения физической сохранности, надо обезопасить компьютер от кражи. Информация может попасть к злоумышленникам путем кражи диска или другого съемного носителя информации, который находится в незащищенном месте.

Кража системного блока или его несанкционированное включение может также стать причиной потери информации в системе управления фирмой. Здесь можно предложить использовать системные блоки с кнопкой включения, подстрахованной обычным металлическим ключом, без которого он не заработает. Кроме того, можно зафиксировать на рабочем месте аппаратные средства, которые могут быть элементом угрозы информационной безопасности в случае их хищения.

Комплект для защиты компьютерной техники должен содержать средства антивандальной защиты от прямого физического доступа. Технический персонал, обслуживающий информационную систему, должен предусмотреть средства, не допускающие несанкционированный доступ к элементам компьютера и средствам оргтехники. Злоумышленник должен потратить много времени для того, чтобы завладеть той или иной интересующей его деталью. За это время служба безопасности или пользователи информационной системы могут заметить непонятные действия и почувствовать возникшие угрозы информационной безопасности

Обеспечение безопасности для компакт-дисков, вставленных в системный блок, может быть осуществлено посредством механических или электромеханических запоров на торце привода соответствующего диска. Эти, примитивные на первый взгляд, меры эффективно могут защитить вашу информационную систему от злоумышленника не готового к таким способам защиты.

Для защиты от постороннего взгляда используется принцип размытия изображения и сокращения угла зрения, под которым информация остается читаемой на экране монитора. Технически это можно осуществить с помощью специальных жалюзи, сокращающих угол обзора и позволяющих видеть изображение только пользователю, сидящему непосредственно перед монитором. Также для этих целей продаются специальные многослойные пленчатые фильтры. Наконец, самый удобный способ – это заранее озаботится покупкой специальных мониторов с малым углом обзора.

Системный блок, а в некоторых случаях и его составляющие, могут быть защищены специальными датчиками, которые реагируют на движение или изменение положения защищенного предмета. В случае срабатывания датчика происходит активация автономной (энергонезависимой) сирены, оповещающей службу безопасности о несанкционированном вмешательстве, или же сигнал приходит непосредственно на пульт диспетчера службы безопасности, который дает команду охранникам на выяснение ситуации в зафиксированном объекте.

Слот безопасности – это силовой ключевой разъем, который позволяет закрепить ноутбук специальным металлическим тросиком к соответствующему разъему на столе или на стене помещения. Дополнительно к слоту безопасности ноутбук может быть оснащен датчиком движения и сиреной, которая включается, например, на время простоя ноутбука и выключается после ввода пароля для входа в систему.

Так же стоит добавить, что компьютерные сети, организованные в рамках одной организации, снабжаются датчиком движения или датчиком удара, который реагирует на вскрытие крышки системного блока. Такие датчики монтируются на каждый компьютер и соединяются в сеть безопасности, которая замыкается на центральном блоке управления. Блок управления реагирует на поступающие сигналы от датчиков безопасности и ретранслирует их на пульт управления охранника, который принимает меры для нейтрализации угрозы информационной безопасности.

Техногенные катастрофы и стихийные бедствия могут стать причиной потери значительных объемов информации и разрушения структуры базы данных. Например, мощный электронный импульс (от какого-либо промышленного оборудования) может вывести из строя жесткий диск компьютер, находящегося в радиусе его действия. Если оказываются пораженными несколько компьютеров, то это может надолго застопорить работу фирмы и создать серьезную угрозу информационной безопасности.

Пожар, случившийся в офисе или даже в соседнем помещении, с высокой долей вероятности приведет к выходу из строя компьютеров и оргтехники. На этот случай предусмотрены решения (весьма дорогостоящие) исполнения компьютерных элементов и системных блоков в жароустойчивых комплектациях, способных выдержать температуры более тысячи градусов по шкале Цельсия.

Физическая защита – это лишь первый рубеж нейтрализации источников угрозы информационной системы. Надежные замки и датчики движения способны остановить банального воришку, который технически подготовлен лишь к тому, чтобы схватить системный блок или диск с данными и вынести его с охраняемой территории. Дальше идут следующие барьеры, обеспечивающие более высокий уровень защиты.

Самый эффективный,широкораспространенный и универсальный метод защиты информации – это шифрование. К его плюсам относится возможность создать шифр практически любой сложности, который потребует соответствующих затрат времени и ресурсов на его вскрытие. Шифрование позволяет передавать информацию даже по незащищенным каналам, поскольку она не может быть прочитана при отсутствии дешифрующего ключа.

Криптографические методы – это методика преобразования исходной полезной информации в набор несвязанных символов, которые, тем не менее, являются носителями зашифрованной информации. Главный принцип криптографии – создание ключа достаточной сложности для того, чтобы затраты на его расшифровку были сопоставимы или выше, чем ценность самой информации. Согласно принципу Керкхоффа – основой любой криптограммы является ключ. Он представляет собой буквенно-цифровой файл определенной длины, который позволяет отправителю превратить исходное послание в шифр, а получателю произвести обратный процесс и увидеть сообщение. Если ключ попадет в руки злоумышленников, то это будут критической стадией угрозы информационной безопасности. Чтобы этого избежать, ключ периодически изменяется.

Шифрование на предприятии осуществляется за счет программных или программно-аппаратных средств, вынесенных в единый модуль. Такой способ очень неудобен для пользователей. Поэтому разработчики идут по пути встраивания шифровального модуля в основной программный код, или даже в операционную систему. В любом случае, такая методика защиты информации является очень неудобной для пользователей и в большинстве случаев они от нее отказываются.

В настоящее время используются открытые стандартизованные каналы для шифрования, например: DES, IDEA и др.). Сложность заключается только в том, что оба конца канала передачи информации должны иметь шифровальный ключ.

Способ открытого распределения ключей.Каждый из пользователей каналов для передачи зашифрованных данных может использовать свой собственный индивидуальный ключ, сгенерированный случайным образом с помощью специальной программы. Затем этот ключ хранится в секретном месте известном только одному пользователю. Перед отправкой сообщения соответствующий ключ передается адресату прежде, чем он получит сообщение. Еще проще составить каталог ключей и затем рассылать его, заверив цифровой подписью.

Внедрение информационных технологий в работу предприятия с одной стороны повышает ее эффективность, а с другой стороны заставляет руководство принимать во внимание возникающие угрозы информационной безопасности. Безопасность информационных процедур должна входить в глобальную структуру безопасности предприятия. В работе службы безопасности бывают две крайности.

Позиция 1. Всеобъемлющий и беспрекословный регламент на выполнение любого действия, вплоть до включения или выключения компьютера и запуска нужной программы. Отсутствие доступа во внешнюю сеть, криптографическая защита всех внутренних переписок, личный контроль системного администратора за работой всех сотрудников. Идеальный вариант с точки зрения безопасности, но проблема с эффективностью и маневренностью бизнеса как такового.

Позиция 2. Безопасность низложена в угоду оперативности работы информационной системы. Такой подход грозит компьютерными вирусами, доступом посторонних людей к базе данных и потерей ключевых документов, являющихся коммерческой тайной.

Если владелец предприятия пошел по первому пути, то, скорее всего, он оказался на поводу у директора службы безопасности, для которого каждый сотрудник предприятия потенциальный преступник, а письма нужно отправлять не по электронной почте, а специальным курьером, имеющим подписку о неразглашении служебной тайны. Следование по второму пути наиболее вероятно, если ключевая фигура на предприятии - директор по развитию. Для него любое промедление в работе, вызванное соблюдением регламентов службы безопасности, является смертельным для продвижения бизнеса и заключения новых и новых важных контрактов. Руководитель предприятия должен учесть мнение обеих сторон, как с точки зрения средств и методов защиты, так и с точки зрения развития бизнеса.

Стоит заметить, что системный администратор предприятия, владеющий полным современным арсеналом средств технической защиты информации, тем не менее, сможет отследить не более одной пятой части источников угрозы информационной безопасности. Львиная доля случаев угрозы информационной безопасности связана непосредственно с сотрудниками. Здесь профилактикой будет кадровая безопасность и здоровый микроклимат в коллективе.

Для работы в простейших офисных приложениях нет необходимости создавать развитую структуру информационной безопасности. Достаточно простых мер в виде антивирусного пакета и файервола (сетевого экрана). Краткий инструктаж персонала по использованию программ и потенциальным угрозам для фирмы и для них лично в случае нарушения принятых процедур завершит процесс нейтрализации угрозы информационной безопасности. Если же в работе организации используются сложные сетевые продукты для обработки информации, то необходимо более тщательно подойти к выработке политики конфиденциальности информации.

Можно выделить ряд важных критериев:

1) бизнес связан с информационными технологиями;

2) успешное выполнение бизнес-процессов возможно только с применением специфических программных продуктов;

3) объем базы данных огромен и требует существенных ресурсов для поддержания ее работоспособности.

Надо не забывать еще два критерия, которые увеличивают угрозы информационной безопасности:

1) высокая рентабельность.

2) существенные средневзвешенные затраты на содержание службы информационной безопасности.

Если попасть хотя бы под один из этих пунктов, тонадо серьезно озаботиться проблемой информационной безопасности, как с технической, так и с юридической точки зрения. Это поможет в дальнейшем избежать проблем и с конкурентами, и с надзорными органами.

Также и сотрудники компании могут быть как целенаправленными злоумышленниками, так и невольными нарушителями норм информационной безопасности.

Чтобы снизить угрозы информационной безопасности, нужно проводить специальную работу с персоналом в следующих аспектах: профилактическая разъяснительная работа, моральная и материальная поддержка сотрудников на повышение доверия к компании.

Лояльные, но не профессиональные пользователи будут иметь низкую производительность труда, и, наоборот, профессиональные, но не лояльные пользователи будут нести высокие угрозы информационной безопасности. Баланс этих двух качеств – основа безопасности.

Таким образом, в третьей часть теоретической главы были выявлены методы борьбы с угрозами информационной безопасности.

 

---

Дата добавления: 2018-06-01; просмотров: 782; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!