Основы защиты информации

В современном мире вопросы охраны информации занимают важную ступень  не только при личном пользовании, но и на уровне безопасности организации, и на государственном уровне. Всё большее количество людей становится активными пользователями сети Интернет, и всё более доступными оказываются ресурсы, помогающие научиться «воровать» информацию. Кроме того, утечка информации с предприятий существовала всегда, но если раньше она зависела только от субъективных факторов, то теперь появилась возможность «взлома» информационных (в частности, компьютерных) сетей. Информационная безопасность необходима, чтобы не допустить этих утечек. В этом заключается актуальность данного исследования.

Система управления информационной безопасностью - это набор процессов, которые работают в компании для обеспечения конфиденциальности, целостности и доступности информационных ресурсов. 

Действительно, информация на электронных носителях играет все более важную роль в жизни современного общества. Уязвимость такой информации обусловлена рядом факторов: огромными объемами, многоточечностью и возможной анонимностью доступа, возможностью информационного саботажа. Все это делает задачу защиты информации, находящейся в компьютерной среде, гораздо более сложной задачей, чем, скажем, сохранение традиционной почтовой переписки.

Если говорить о безопасности информации, хранящейся на «проходе» носителя, то обеспечивается соблюдение мер физической защиты (другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Система шире, чем информационная безопасность по отношению к «традиционным» СМИ.

Системой менеджмента информационной безопасности называют ту часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и улучшении информационной безопасности. 

Работа системы основана на подходах современной теории рисков менеджмента, что обеспечивает ее интеграцию в общую систему управления рисками организации.

Внедрение системы менеджмента информационной безопасности подразумевает разработку и внедрение процедуры, направленной на систематическую идентификацию, анализ и смягчение рисков информационной безопасности, то есть рисков, в результате которых информационные активы (информацию в любой форме и любого характера) потеряют конфиденциальность, целостность и доступность.

Для обеспечения систематического смягчения рисков информационной безопасности, на основании полученных результатов оценки рисков, в организации внедряются следующие процессы:

• управление внутренней организацией информационной безопасности;

• обеспечение информационной безопасности при взаимодействии с третьими сторонами;

• управление реестром информационных активов и правила их классификации;

• управление безопасностью оборудования;

• обеспечение физической безопасности;

• обеспечение информационной безопасности персонала;

• планирование и принятие информационных систем;

• резервное копирование;

• обеспечение безопасности сети.

 Под информационной безопасностью понимают состояние защищенности информационной среды, обеспечивающее ее формирование и развитие. Управление предприятием не может эффективно проводиться без достаточной оперативной, надеждой, своевременной и достоверной информации. Информация является основой управленческого процесса, и от того, насколько она совершенна, во многом зависит качество управления предприятием. 

Информационная деятельность менеджера требует от него чёткой организации процесса сбора, анализа и обработки информации, причём он должен уметь определять важность или второстепенность поступающей информации. Опытный менеджер также должен иметь упорядочивать коммуникации и обмен информацией в рамках предприятия и фирмы. 

Управляющая система получает от управляемой системы информацию о состоянии заданных ею технико-экономических параметров в процессе производственной и финансово-хозяйственной деятельности. На основе полученной информации управляющая система (менеджмент) вырабатывает команды управления и передует их в управляемую систему для исполнения. Информация, которая функционирует на предприятии в процессе управления, может быть классифицирована следующим образом: 

• по форме отображения (визуальная, аудиовизуальная и смешанная); 

• по форме представления (цифровая, буквенная, кодированная); 

• по роли в процессе управления (аналитическая, прогнозная, отчётная, научная, нормативная); 

• по качеству (достоверная, вероятностно достоверная, недостоверная, ложная); 

• по возможности использования (необходимая, достаточная, избыточная); 

• по степени обновляемое (постоянная, переменная); 

• по степени деятельности предприятия (экономическая, управленческая, социальная, технологическая);

• по времени поступления (периодическая, постоянная, эпизодическая, случайная). 

Для грамотного построения такой системы необходимо привлечение к участию в их создании топ-менеджмента компании, IT-специалистов, консультантов по данной теме, технических специалистов.

Одной из важных задач построения системы защиты информации является создание эффективного механизма контроля доступа к информации, решение вопросов как контроля доступа, так и определения методов доступа. Следует понимать, что способы доступа к информации определяются характеристиками самой информации и сегодня оцениваются информации на бумаге и других носителях.

Основными причинами нарушения безопасности информации на предприятии являются: в первую очередь, разглашение производственных тайн сотрудниками (излишняя болтливость), подкуп сотрудников конкурентами, отсутствие в компании жёстких мер и контроля информационной безопасности. Кроме этого, существуют и другие причины.

Прямым и самым опасным последствием такой халатности руководства в плане необеспечения контроля за информацией являются убытки, которые несёт копания от утечки информации.

 Для достижения надёжной защиты информации необходима реализация совокупности (комплекса) мер, таких, как внедрение добавочных средств защиты, обеспечение необходимых организационных мероприятий, включающих подготовку и обучение администраторов безопасности, определение организационной структуры, разработку нормативной базы обеспечения информационной безопасности на предприятии, разработку плана внедрения и обслуживания систем информатизации и защиты информации.