Osnovni aspekti sigurnosti informacija. Tehnološki aspekti i procesi informacione sigurnosti

Napomena: Predavanje pokriva osnovne pojmove informacione sigurnosti. Upoznavanje sa Federalnim zakonom "O informacijama, informacionim tehnologijama i zaštiti informacija".

GOST " Zaštita podataka. Osnovni pojmovi i definicije“ uvodi koncept sigurnost informacija kao stanje informacione sigurnosti, u kojem je ona osigurana povjerljivost, dostupnost i integritet.

  • Povjerljivost– stanje informacija u kojem pristup njima imaju samo subjekti koji na to imaju pravo.
  • Integritet– stanje informacija u kojem nema promjene ili promjene vrše samo namjerno subjekti koji na to imaju pravo;
  • Dostupnost– stanje informacija u kojem ga subjekti s pravom pristupa mogu nesmetano koristiti.

Prijetnje sigurnosti informacija– skup uslova i faktora koji stvaraju potencijalnu ili stvarnu opasnost od narušavanja informacione bezbednosti [,]. Napad naziva se pokušajem sprovođenja prijetnje, a onaj ko to učini jeste uljez. Pozivaju se potencijalni napadači izvore prijetnje.

Prijetnja je posljedica prisustva ranjivosti ili ranjivosti u informacionom sistemu. Ranjivosti mogu nastati iz različitih razloga, na primjer, kao rezultat nenamjernih grešaka programera prilikom pisanja programa.

Prijetnje se mogu klasificirati prema nekoliko kriterija:

  • By svojstva informacija(dostupnost, integritet, povjerljivost), protiv kojih su prijetnje prvenstveno usmjerene;
  • komponentama informacionih sistema koje su ciljane prijetnjama (podaci, programi, hardver, prateća infrastruktura);
  • po načinu implementacije (slučajne/namjerne, prirodne/čovječne radnje);
  • prema lokaciji izvora prijetnje (unutar/izvan dotičnog IS-a).

Osiguranje sigurnosti informacija je složen zadatak čije je rješenje potrebno Kompleksan pristup. Razlikuju se sljedeći nivoi zaštite informacija:

  1. zakonodavni – zakoni, propisi i drugi dokumenti Ruske Federacije i međunarodne zajednice;
  2. administrativni – skup mjera koje lokalno poduzima menadžment organizacije;
  3. proceduralni nivo - mjere sigurnosti koje sprovode ljudi;
  4. softverski i hardverski nivo– direktno sredstvo zaštite informacija.

Zakonodavni nivo je osnova za izgradnju sistema informacione bezbednosti, jer daje osnovne koncepte predmetna oblast i određuje kaznu za potencijalne napadače. Ovaj nivo igra ulogu koordinacije i usmjeravanja i pomaže u održavanju negativnog (i kaznenog) stava u društvu prema ljudima koji krše informacijsku sigurnost.

1.2. Savezni zakon "O informacijama, informacionim tehnologijama i zaštiti informacija"

U ruskom zakonodavstvu, osnovni zakon u oblasti zaštite informacija je Federalni zakon „O informacijama, informacionim tehnologijama i zaštiti informacija“ od 27. jula 2006. godine, broj 149-FZ. Stoga osnovni koncepti i odluke sadržani u zakonu zahtijevaju pažljivo razmatranje.

Zakonom se uređuju odnosi koji nastaju kada:

  • ostvarivanje prava na pretraživanje, primanje, prenos, proizvodnju i širenje informacija;
  • primjena informacionih tehnologija;
  • osiguravanje sigurnosti informacija.

Zakon daje osnovne definicije u oblasti zaštite informacija. Evo nekih od njih:

  • informacije- informacije (poruke, podaci) bez obzira na oblik njihovog predstavljanja;
  • informacione tehnologije- procesi, metode pretraživanja, prikupljanja, skladištenja, obrade, pružanja, distribucije informacija i metode implementacije tih procesa i metoda;
  • Informacioni sistem- ukupnost informacija sadržanih u bazama podataka i informacionih tehnologija i tehničkih sredstava koja obezbeđuju njihovu obradu;
  • vlasnik informacija- lice koje je samostalno kreiralo informacije ili dobilo, na osnovu zakona ili sporazuma, pravo da dozvoli ili ograniči pristup informacijama utvrđenim kriterijumima;
  • operater informacionog sistema- građanin ili pravno lice koje upravlja informacionim sistemom, uključujući obradu informacija sadržanih u njegovim bazama podataka.
  • povjerljivost informacija- obavezan uslov da lice koje je steklo pristup određenim informacijama ne prenosi te podatke trećim licima bez saglasnosti njihovog vlasnika.

Članom 4. Zakona formulisana su načela pravnog uređenja odnosa u oblasti informacija, informacionih tehnologija i zaštite informacija:

  1. slobodu pretraživanja, primanja, prenosa, proizvodnje i širenja informacija bilo kojim pravnim putem;
  2. uspostavljanje ograničenja pristupa informacijama samo saveznim zakonima;
  3. otvorenost informacija o radu državnih organa i jedinica lokalne samouprave i slobodan pristup tim informacijama, osim u slučajevima utvrđenim saveznim zakonima;
  4. jednakost prava za jezike naroda Ruske Federacije u stvaranju informacionih sistema i njihovom radu;
  5. osiguravanje sigurnosti Ruske Federacije tokom stvaranja informacionih sistema, njihovog rada i zaštite informacija sadržanih u njima;
  6. pouzdanost informacija i blagovremenost njihovog dostavljanja;
  7. nepovredivost privatnog života, nedopustivost prikupljanja, čuvanja, korištenja i širenja informacija o privatnom životu osobe bez njegovog pristanka;
  8. nedopustivost utvrđivanja podzakonskim aktima bilo kakve prednosti korišćenja nekih informacionih tehnologija u odnosu na druge, osim ako saveznim zakonima nije utvrđena obavezna upotreba određenih informacionih tehnologija za stvaranje i rad državnih informacionih sistema.

Sve informacije su podijeljene na javno dostupan i ograničeno pristup. Javne informacije obuhvataju opšte poznate informacije i druge informacije kojima pristup nije ograničen. Zakon definiše informacije kojima se ne može ograničiti pristup, na primjer, informacije o životnoj sredini ili aktivnostima državnih organa. Takođe je propisano da Ograničenje pristupa informisanje se utvrđuje saveznim zakonima radi zaštite osnova ustavnog uređenja, morala, zdravlja, prava i legitimnih interesa drugih lica, obezbjeđenja odbrane zemlje i sigurnosti države. Obavezno je čuvati povjerljivost informacija, pristup kojima je ograničen saveznim zakonima.

Zabranjeno je zahtijevati od građanina (pojedinca) da daje podatke o svom privatnom životu, uključujući podatke koji predstavljaju ličnu ili porodičnu tajnu, te primanje tih informacija protiv volje građanina (pojedinca), osim ako saveznim zakonima nije drugačije određeno.

  1. informacije koje se slobodno šire;
  2. informacije date sporazumom lica koja učestvuju u relevantnom odnosu;
  3. informacije koje, u skladu sa saveznim zakonima, podležu pružanju ili distribuciji;
  4. informacije čija je distribucija ograničena ili zabranjena u Ruskoj Federaciji.

Zakonom je utvrđena ekvivalentnost elektronske poruke potpisane elektronskim digitalnim potpisom ili drugim analogom svojeručnog potpisa i rukom potpisanog dokumenta.

Daje se sljedeća definicija zaštite informacija – ona predstavlja donošenje pravnih, organizacionih i tehničkih mjera koje imaju za cilj:

  1. obezbjeđivanje zaštite informacija od neovlaštenog pristupa, uništavanja, modifikacije, blokiranja, kopiranja, pružanja, distribucije, kao i od drugih protivpravnih radnji u vezi sa tim informacijama;
  2. održavanje povjerljivosti ograničenih informacija;
  3. ostvarivanje prava na pristup informacijama.

Vlasnik informacija, operater informacionog sistema u slučajevima utvrđenim zakonodavstvom Ruske Federacije, dužan je osigurati:

  1. sprečavanje neovlašćenog pristupa informacijama i (ili) prenos istih licima koja nemaju pravo pristupa informacijama;
  2. blagovremeno otkrivanje činjenica neovlaštenog pristupa informacijama;
  3. sprječavanje mogućnosti štetnih posljedica kršenja reda pristupa informacijama;
  4. sprečavanje uticaja na tehnička sredstva obrade informacija, usled čega je njihovo funkcionisanje narušeno;
  5. mogućnost trenutnog vraćanja informacija izmijenjenih ili uništenih zbog neovlaštenog pristupa njima;
  6. stalno praćenje obezbjeđenja nivoa informacione sigurnosti.

Dakle, Federalni zakon “O informacijama, informacionim tehnologijama i zaštiti informacija” stvara pravni osnov za razmjenu informacija u Ruskoj Federaciji i utvrđuje prava i obaveze njenih subjekata.

Informaciona sigurnost se odnosi na sigurnost informacija i njihove prateće infrastrukture od bilo kakvih slučajnih ili zlonamjernih utjecaja koji mogu dovesti do oštećenja samih informacija, njihovih vlasnika ili prateće infrastrukture.

Svrha informacione sigurnosti je da obezbedi sistemske vrednosti, zaštiti i garantuje tačnost i integritet informacija i minimizira uništenje koje može da se desi ako se informacije modifikuju ili unište.

U praksi su najvažnija tri aspekta informacione sigurnosti:

1. Dostupnost (mogućnost dobijanja potrebne informacione usluge u razumnom roku);

2. Integritet (njegova zaštita od uništenja i neovlašćenih promjena);

3. Povjerljivost (zaštita od neovlaštenog čitanja).

Metode (metode) zaštite informacija:

· Neka- stvaranje prepreke na putu prijetnje, čije savladavanje je povezano sa poteškoćama za napadača ili destabilizirajućim faktorom.

· Kontrola- obezbjeđivanje kontrolnih radnji na elemente štićenog sistema.

· Prerušavanje- radnje na zaštićeni sistem ili informacije koje dovode do njihove transformacije na način da ih učini nedostupnim napadaču. (Ovo uključuje, posebno, kriptografske metode zaštite).

· Regulativa- razvoj i implementacija skupa mjera koje stvaraju uslove za obradu informacija koje značajno otežavaju provođenje napada od strane napadača ili uticaj drugih destabilizujućih faktora.

· Kompulzija- metoda se sastoji u stvaranju uslova pod kojima su korisnici i osoblje prinuđeni da se pridržavaju uslova za obradu informacija pod prijetnjom odgovornosti (materijalne, kaznene, administrativne)

· Inducement- metoda se sastoji u stvaranju uslova pod kojima se korisnici i osoblje pridržavaju uslova za obradu informacija iz moralnih, etičkih i psiholoških razloga.

Mjere informacione sigurnosti:

· Fizička sredstva- mehanički, električni, elektromehanički, elektronski, elektronsko-mehanički i dr. uređaji i sistemi koji rade autonomno, stvarajući razne vrste prepreka na putu destabilizujućih faktora.

· Hardver- razne elektronske i elektronsko-mehaničke itd. uređaji koji su ugrađeni u kola u opremu sistema za obradu podataka ili su povezani s njim posebno za rješavanje problema sigurnosti informacija.

· Softver- posebni softverski paketi ili pojedinačni programi uključeni u softver za rješavanje problema sigurnosti informacija.

· Organizaciona sredstva- organizacione i tehničke mjere posebno predviđene u tehnologiji rada sistema u cilju rješavanja problema informacione sigurnosti.

· Zakonodavna sredstva- podzakonskim aktima koji uređuju prava i obaveze, a takođe utvrđuju odgovornost svih lica i službi u vezi sa radom sistema za kršenje pravila obrade informacija, što može rezultirati narušavanjem njegove bezbednosti.

· Psihološka (moralna i etička sredstva)- moralne norme ili etička pravila uspostavljena u društvu ili datoj grupi, čije poštovanje doprinosi zaštiti informacija, a kršenje istih se izjednačava sa nepoštivanjem pravila ponašanja u društvu ili timu.

Metode i sredstva zaštite informacija

Metode za osiguranje informacione sigurnosti u IS-u:

· prepreka;

· kontrole pristupa;

· mehanizmi šifriranja;

· suzbijanje napada zlonamjernog softvera;

· regulacija;

· prinuda;

· motivacija.

Opstrukcija - metoda fizičkog blokiranja puta napadača do

zaštićene informacije (oprema, mediji za skladištenje, itd.).

Kontrola pristupa - metode zaštite informacija propisima

korištenje svih IP i IT resursa. Ove metode treba da se odupru svima

mogući načini neovlaštenog pristupa informacijama.

Kontrola pristupa uključuje sljedeće sigurnosne funkcije:

· identifikacija korisnika, osoblja i sistemskih resursa (dodjela

svaki objekat ličnog identifikatora);

· identifikacija (autentifikacija) objekta ili subjekta pomoću

identifikator koji im je predstavljen;

· verifikacija akreditiva (provera usklađenosti sa danom u nedelji, doba dana,

tražena sredstva i procedure utvrđene propisima);

· dozvolu i stvaranje uslova za rad u okviru utvrđenih propisa;

· registracija (logiranje) zahtjeva prema zaštićenim resursima;

· odgovor (alarm, isključenje, kašnjenje rada, odbijanje zahteva itd.)

prilikom pokušaja neovlaštenih radnji.

Mehanizmi enkripcije – kriptografsko zatvaranje informacija. Ove

metode zaštite se sve više koriste i tokom obrade i skladištenja

informacije na magnetnim medijima. Prilikom prijenosa informacija putem komunikacijskih kanala

na velikim udaljenostima, ova metoda je jedina pouzdana.

Suprotstavljanje napadima zlonamjernog softvera zahtijeva sveobuhvatno

razne organizacijske mjere i korištenje antivirusa

programe. Cilj poduzetih mjera je smanjenje vjerovatnoće zaraze

AIS, otkrivanje sistemske infekcije; ublažavanje

informacijske infekcije, lokalizacija ili uništavanje virusa; oporavak

informacije u IS-u. Ovladavanje ovim skupom mjera i sredstava zahtijeva poznavanje

specijalna literatura.

Regulativa – stvaranje takvih uslova za automatizovanu obradu,

skladištenje i prenos zaštićenih informacija, u kojima se primenjuju norme i standardi za

zaštita se sprovodi u najvećoj meri

Prinuda je metoda zaštite u kojoj korisnici i osoblje IS

prisiljeni da se pridržavaju pravila za obradu, prijenos i korištenje zaštićenih

informacije pod prijetnjom materijalnih, administrativnih ili krivičnih

odgovornost.

Podsticanje je metoda zaštite koja podstiče korisnike i osoblje IS-a da to ne čine

krše utvrđene naredbe poštujući ustaljeni moral i

etički standardi

Cijeli skup tehničkih sredstava podijeljen je na hardver i

fizički.

Hardver – uređaji ugrađeni direktno u

računarsku opremu, odnosno uređaje koji s njom povezuju prema standardu

interfejs.

Fizička sredstva uključuju različite inženjerske uređaje i

strukture koje sprečavaju fizički prodor uljeza

objekata zaštite i zaštite osoblja (lična sredstva

sigurnost), materijalna sredstva i finansije, informacije od ilegalnih

akcije. Primjeri fizičkih kontrola: brave na vratima, rešetke na prozorima, kontrole

elektronski sigurnosni alarm itd.

Softverski alati su posebni programi i softver

kompleksi dizajnirani za zaštitu informacija u IP-u. Kao što je navedeno, mnogi

od kojih su spojeni sa softverom samog IS-a.

Od softvera sigurnosnog sistema izdvojićemo i softverske alate,

implementacija mehanizama enkripcije (kriptografija). Kriptografija je nauka o

osiguranje tajnosti i/ili autentičnosti (autentičnosti) prenesenog

poruke.

Organizaciona sredstva sprovode regulaciju kroz svoj kompleks

produkcijske aktivnosti u IP i odnosi između izvođača na

regulatorni okvir na takav način da otkrivanje, curenje i

neovlašteni pristup povjerljivim informacijama postaje

nemoguće ili značajno otežano zbog organizacionih

događaji. Skup ovih mjera provodi grupa za informisanje

sigurnost, ali mora biti pod kontrolom prvog menadžera.

Zakonski pravni lijekovi utvrđuju se zakonskim aktima

zemlje koje regulišu pravila korišćenja, obrade i prenosa

utvrđuju se informacije ograničenog pristupa i mjere odgovornosti za

kršenje ovih pravila.

Moralna i etička zaštita uključuje sve vrste normi

ponašanje (koje se tradicionalno razvilo ranije) razvija se kao

distribucije IP i IT u zemlji i svijetu ili su posebno razvijene.

Moralni i etički standardi mogu biti nepisani (na primjer, poštenje) ili

formalizovan u određenom skupu (povelji) pravila ili propisa. Ove norme su obično

nisu pravno utvrđene, ali budući da njihovo nepoštovanje dovodi do

do pada prestiža organizacije, smatraju se obaveznim.

Tipičan primjer takvih propisa je Kodeks profesionalne prakse

ponašanje članova Američkog udruženja kompjuterskih korisnika.

9.3. Security Technologies

Kada koristite bilo koju informacijsku tehnologiju, obratite pažnju

obratiti pažnju na dostupnost alata za zaštitu podataka, programa, računarskih sistema.

Sigurnost podataka uključuje osiguranje integriteta i zaštitu podataka

podataka i programa od neovlaštenog pristupa, kopiranja, modifikacije.

Pouzdanost podataka se kontroliše u svim fazama tehnološkog procesa

rad EIS-a. Postoje vizualne i softverske metode kontrole.

Vizuelni pregled se vrši u kućnoj i završnoj fazi.

Softver – u fazi u mašini. U ovom slučaju potrebna je kontrola ulaza.

podatke, njihovu korekciju, tj. gdje god postoji intervencija korisnika

računarski proces. Kontrolišu se pojedini detalji, evidencije, grupe

zapisi, fajlovi. Softverski alati za kontrolu pouzdanosti podataka

postavljeno u fazi glavnog projektovanja.

Zaštita podataka i programa od neovlašćenog pristupa, kopiranja, Informaciona tehnologija0n3o.l0o1g.i1i3v ekonomija: 9.2. Metode i sredstva zaštite informacija »

abc.v v su.ru/Books/inform_tehnolog/page0025.asp 3/4

promjene se sprovode softverskim i hardverskim metodama i tehnološkim

tehnike. Sigurnosne mjere hardvera i softvera uključuju lozinke, elektronske

ključevi, elektronski identifikatori, elektronski potpis, alati za kodiranje,

dekodiranje podataka. Za kodiranje, dekodiranje podataka, programa i

elektronski potpis koristi kriptografske metode. Na primjer, u SAD-u

Koristi se kriptografski standard koji je razvila grupa IETF. On izvozi

nije predmet. Razvijeni su i domaći elektronski ključevi, npr.

NovexKey za zaštitu programa i podataka u Windows, DOS, Netware sistemima.

Sigurnosne mjere slične su, prema riječima stručnjaka, bravi na vratima. Brave

provaljuju, ali ih niko ne uklanja sa vrata, ostavljajući stan otvoren.

Tehnološka kontrola se sastoji od organizovanja više nivoa

sistemi za zaštitu programa i podataka kao sredstva za provjeru lozinki, elektronski

potpisi, elektronski ključevi, skrivene oznake datoteka, korištenjem softvera

proizvodi koji ispunjavaju zahtjeve za kompjutersku sigurnost i

metode vizuelne i softverske kontrole pouzdanosti, integriteta, kompletnosti

Sigurnost obrade podataka ovisi o sigurnosti korištenja

kompjuterski sistemi. Računarski sistem je kolekcija

hardver i softver, razne vrste fizičkih medija

informacije, same podatke, kao i osoblje koje opslužuje navedene

Komponente.

U SAD je sada razvijen standard za sigurnosne ocjene.

kompjuterski sistemi – kriterijumi za procenu podobnosti. Uzima u obzir četiri

vrsta zahteva za kompjuterske sisteme:

· zahtjevi za sprovođenje sigurnosne politike – sigurnosne politike;

· vođenje evidencije o korištenju računarskih sistema – računa;

· povjerenje u kompjuterske sisteme;

· zahtjevi za dokumentacijom.

Zahtjevi za dosljednu sigurnosnu politiku i održavanje

računovodstvo upotrebe računarskih sistema zavise jedno od drugog i obezbeđuju se

sredstva uključena u sistem, tj. rješavanje sigurnosnih pitanja je uključeno

u softver i hardver u fazi projektovanja.

Narušavanje povjerenja u kompjuterske sisteme obično je uzrokovano

kršenje kulture razvoja programa: odbacivanje strukturalnog

programiranje, neeliminisanje stubova, nedefinisani unos itd. Za

za testiranje povjerenja morate znati arhitekturu aplikacije, pravila stabilnosti

njegovo održavanje, testni primjer.

Zahtjevi za dokumentaciju znače da korisnik mora imati

sveobuhvatne informacije o svim pitanjima. U ovom slučaju, dokumentacija bi trebala

biti koncizan i razumljiv.

Tek nakon procjene sigurnosti kompjuterskog sistema može se prihvatiti

Na tržište.

Tokom rada IP-a, najveću štetu i gubitke uzrokuju virusi. Zaštita

protiv virusa se može organizirati na isti način kao i zaštita od neovlaštenih

pristup. Tehnologija zaštite je višeslojna i sadrži sljedeće faze:

1. Kontrola unosa novog softvera ili diskete, koja

provodi grupa posebno odabranih detektora, auditora i filtera.

Na primjer, grupa može uključivati ​​Scan, Aidstest, TPU8CLS. Može

sprovoditi karantenski režim. U tu svrhu, ubrzani kompjuter

kalendar. Sa svakim narednim eksperimentom unosi se i promatra novi datum

odstupanja u starom softveru. Ako nema odstupanja, onda virus nije

otkriveno.

2. Segmentacija tvrdog diska. Istovremeno, pojedinačne particije diska

atribut ReadOnly je dodijeljen. Za segmentaciju možete koristiti npr.

Program menadžera itd.

3. Sistematska upotreba rezidentnih revizorskih programa i filtera

za praćenje integriteta informacija, na primjer Check21, SBM, Antivirus2, itd.

4. Arhiviranje. Njemu su podložni i sistemski i aplikativni programi. Ako

jedan računar koristi više korisnika, preporučljivo je

dnevno arhiviranje. Za arhiviranje možete koristiti PKZIP i druge. Efikasnost sigurnosnog softvera ovisi o ispravnosti radnji

korisnika, što može biti izvedeno pogrešno ili sa zlonamjernom namjerom.

Stoga je potrebno preduzeti sljedeće organizacione zaštitne mjere:

opšta kontrola pristupa, uključujući sistem lozinki i segmentaciju

tvrdi disk;

· obuka kadrova u tehnologiji zaštite;

· osiguranje fizičke sigurnosti računara i magnetnih medija;

· razvoj arhivskih pravila;

· pohranjivanje pojedinačnih datoteka u šifriranom obliku;

· kreiranje plana za vraćanje hard diska i oštećenih informacija.

Za šifriranje datoteka i zaštitu od neovlaštenog kopiranja

Razvijeni su mnogi programi, na primjer Catcher, Exeb itd. Jedna od metoda zaštite

je skrivena oznaka datoteke: oznaka (lozinka) je upisana u sektor na disku,

koji se ne čita zajedno sa fajlom, a sam fajl se nalazi iz drugog sektora,

stoga se datoteka ne može otvoriti bez poznavanja oznake.

Vraćanje informacija na hard disk je težak zadatak, dostupan

visoko kvalifikovani sistemski programeri. Stoga je preporučljivo imati

nekoliko kompleta disketa za arhivu tvrdog diska i ciklično snimanje na njih

kompleti. Na primjer, možete koristiti za snimanje na tri seta disketa

princip “sedmica-mjesec-godina”. Lokaciju treba periodično optimizirati

datoteke na tvrdom disku pomoću uslužnog programa SpeedDisk, itd., što je neophodno

olakšava njihov oporavak.

Komponente informacione sigurnosti

Općenito, informacijska sigurnost (IS) se može definirati kao „sigurnost informacija, resursa i prateće infrastrukture od slučajnih ili namjernih utjecaja prirodne ili vještačke prirode koji mogu uzrokovati neprihvatljivu štetu subjektima informacionih odnosa – proizvođačima, vlasnicima i korisnicima. informacijske i prateće infrastrukture.”

Sigurnost informacija nije ograničena samo na zaštitu od neovlaštenog pristupa informacijama: to je suštinski širi koncept, uključujući zaštitu informacija, tehnologija i sistema.

Sigurnosni zahtjevi u različitim aspektima informacijske aktivnosti mogu se značajno razlikovati, ali uvijek su usmjereni na postizanje sljedeće tri glavne komponente informacione sigurnosti:

  • integritet. To je, prije svega, relevantnost i konzistentnost informacija, njihova zaštita od uništavanja i neovlaštenih promjena, odnosno: podaci i informacije na osnovu kojih se donose odluke moraju biti pouzdani, tačni i zaštićeni od mogućih nenamjernih i zlonamjernih izobličenja;
  • privatnost. Povjerljivi podaci trebaju biti dostupni samo onima kojima su namijenjeni. Takve informacije se ne mogu dobiti, pročitati, promijeniti ili prenijeti osim ako ne postoje odgovarajuća prava pristupa;
  • pristupačnost(spremnost). Ovo je prilika da u razumnom roku dobijete traženu informacijsku uslugu, tj. Podaci, informacije i povezane usluge, automatizirane usluge, alati za interakciju i komunikaciju moraju biti dostupni i spremni za rad kad god su potrebni.

Aktivnosti na obezbjeđivanju sigurnosti informacija usmjerene su na sprječavanje, sprječavanje ili neutralizaciju sljedećih radnji:

  • neovlašteni pristup informacionim resursima (NSD, Unauthorized Access - UAA);
  • izobličenje, djelomični ili potpuni gubitak povjerljivih informacija;
  • ciljane akcije (napadi) za uništavanje integriteta softverskih sistema, sistema podataka i informacionih struktura;
  • kvarovi i kvarovi na softveru, hardveru i telekomunikacijama.

Dakle, metodološki ispravan pristup problemima informacione bezbednosti počinje identifikovanjem subjekata informacionih odnosa i interesa ovih subjekata vezanih za korišćenje informacionih tehnologija i sistema (IT/IS).

Procjena stvarnog stanja u većini slučajeva svodi se na davanje odgovora na ključna pitanja koja čine sistemsku osnovu za osiguranje informacione sigurnosti, a posebno da li je potrebno zaštititi, od koga i šta treba štititi, šta i kako treba štititi, koje mjere će osigurati djelotvornost zaštite, kao i procijeniti procijenjene troškove razvoja, implementacije, rada, održavanja i modernizacije sigurnosnih sistema.

Prva tri pitanja direktno se odnose na problem procene stvarnih pretnji (slika 7.1) 16]. Odgovori na ova pitanja su dvosmisleni - mnogo zavisi od strukture, područja djelovanja i ciljeva kompanije. Prilikom integracije pojedinačnih i korporativnih informacionih sistema i resursa u jedinstvenu informacionu infrastrukturu, odlučujući faktor je obezbeđivanje odgovarajućeg nivoa informacione sigurnosti za svaki subjekt koji je odlučio da uđe u jedinstvenu infrastrukturu.

Rice. 7.1.

U jedinstvenom informacionom prostoru državne strukture ili privrednog društva mora se stvoriti mehanizmi i alati za provjeru autentičnosti za autentifikaciju korisnika, poruke i sadržaja. Stoga se mora kreirati sistem informacione sigurnosti koji bi uključivao potreban skup mjera i tehničkih rješenja za zaštitu:

  • od disfunkcije informacioni prostor eliminisanjem uticaja na informacione kanale i resurse;
  • neovlašćeni pristup do informacija otkrivanjem i otklanjanjem pokušaja korišćenja resursa informacionog prostora koji dovode do narušavanja njegovog integriteta;
  • uništavanje ugrađene zaštitne opreme sa mogućnost identifikacije neovlaštenih radnji korisnika i uslužnog osoblja;
  • implementacija softvera " virusi " i "bookmarks" "u softverskim proizvodima i hardveru.

Posebno treba istaći zadaće obezbjeđivanja sigurnosti sistema koji se razvijaju i modificiraju u integriranom informacionom okruženju, jer u procesu modifikacije CIS-a dolazi do pojave vanrednih situacija nesigurnosti sistema (tzv. „rupe u sistemu“). je neizbježan.

Uz analizu specifičnih sredstava zaštite koja postoje u kompaniji, razvija se i razvoj politike informacione sigurnosti, uključujući skup organizacionih i administrativnih mjera i dokumenata, kao i metodološka i tehnička rješenja koja su osnova za kreiranje infrastrukture informacione sigurnosti (slika 7.2).

Rice. 7.2.

Sledeći korak u razvoju sveobuhvatnog sistema bezbednosti informacija je nabavka, instalacija i konfiguracija alata i mehanizama za bezbednost informacija. Takvi alati uključuju sisteme za zaštitu informacija od neovlašćenog pristupa, sisteme kriptografske zaštite, zaštitne zidove (firewall, firewall), alate za sigurnosnu analizu, itd. Za ispravnu i efikasnu upotrebu instaliranih sigurnosnih alata potrebno je kvalifikovano osoblje.

Vremenom postojeća sredstva zaštite zastarevaju, izlaze nove verzije sistema informacione bezbednosti, lista pronađenih ranjivosti i napada se stalno širi, menjaju se tehnologija obrade informacija, softver i hardver, kao i kadrovi kompanije. Stoga je potrebno redovno revidirati izrađenu organizacionu i administrativnu dokumentaciju, vršiti pregled informacionog sistema ili njegovih podsistema, obučavati kadrove i ažurirati mjere sigurnosti.

Svako preduzeće koje prima resurse, uključujući informacije, obrađuje ih kako bi na kraju prodalo svoj vlastiti komercijalni proizvod na tržištu. Istovremeno, stvara specifično interno okruženje, koje se formira naporima osoblja svih strukturnih odeljenja, kao i tehničkih sredstava i tehnoloških procesa, ekonomskih i društvenih odnosa kako unutar preduzeća, tako i u interakciji sa spoljnim okruženjem.

Korporativne informacije odražavaju finansijsko i ekonomsko stanje preduzeća i rezultate njegovih aktivnosti. Primjeri takvih informacija su registracijski i statutarni dokumenti, dugoročni i tekući planovi, nalozi, uputstva, izvještaji, podaci o proizvodnji, podaci o tokovima finansija i drugih resursa, informacije o obuci osoblja i područjima primjene proizvoda, uključujući metode i kanali prodaje, tehnike prodaje, narudžbe, logistika, informacije o dobavljačima i partnerima.

Izvori korporativnih informacija - direkcija i administracija preduzeća, odjeli za planiranje i finansije, računovodstvo, IT odjeli i računski centri, odjeli glavnog inženjera i glavnog mehaničara, odjeli proizvodnje, pravne, operativne i servisne službe, logistika, nabavka i prodaja odeljenja itd.

Korporativno okruženje uključuje vladine, ekonomske, političke i društvene aktere koji djeluju izvan preduzeća. Informacije izvan korporativnog okruženja često su nepotpune, kontradiktorne, približne, heterogene i ne odražavaju adekvatno stanje vanjskog okruženja. Primeri eksternih informacija koje prevazilaze korporativno okruženje su stanje na tržištu (njegovo dugoročno i trenutno stanje, trendovi u poslovnom okruženju, fluktuacije ponude i potražnje, nestabilnost situacije, varijabilnost, kontradiktorni zahtevi), promene u zakonodavstvo, očekivanja potrošača, „intrige“ konkurenata, posljedice političkih događaja itd.

Većina ovih informacija je otvorena, ali u zavisnosti od karakteristika internih aktivnosti i interakcije sa spoljnim svetom, neke od informacija mogu biti namenjene „službenoj upotrebi“, tj. biti "strogo povjerljivo" ili "tajno". Takve informacije su, po pravilu, „zatvorene“ i zahtijevaju odgovarajuće mjere zaštite.

Da biste osigurali sigurnost pri radu sa zaštićenim informacijama, trebali biste: prvo, poredati politika za rad s povjerljivim i zaštićenim informacijama, razviti i implementirati odgovarajuće smjernice i procedure i, drugo, da obezbedi neophodne softverske i hardverske resurse.

Softver i hardver za rad sa zaštićenim informacijama ili su ugrađeni u odgovarajuće module korporativnog informacionog sistema (CIS) ili se koriste lokalno u sistemima navedenim u politici bezbednosti informacija. To uključuje uređaje koji:

  • praćenje kretanja povjerljivih informacija kroz informacioni sistem (Data-in-Shell);
  • upravljanje kontrolom curenja podataka kroz mrežni promet putem TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, vlasničkim protokolima filtriranjem sadržaja na nivou:
  • – gateway kroz koji promet teče iz interne mreže u eksternu mrežu (Data-in-Motion);
  • – server koji obrađuje određenu vrstu saobraćaja (Data-at-Rest);
  • – radna stanica (Podaci u upotrebi);
  • – interni mail kanali Microsoft Exchange, Lotus Notes, itd.
  • – upravljačka kontrola curenja zaštićenih informacija sa radnih stanica, perifernih i mobilnih
  • – uspostavljanje proaktivne zaštite i ličnih zaštitnih zidova;
  • – sjeno kopiranje informacionih objekata u jedinstvenu bazu podataka filtriranja sadržaja za sve kanale prema jedinstvenim pravilima.

Pravilno organiziranje zaštite zaštićenih podataka i informacija nije ni lako ni jeftino. Da biste to učinili, potrebno je klasificirati podatke, izvršiti detaljan popis informacionih resursa, odabrati adekvatno softversko i hardversko rješenje, razviti i implementirati set regulatornih dokumenata kako bi se osigurala interna sigurnost. Glavnu ulogu u ovom teškom poslu minimiziranja rizika od curenja podataka imaju kompetencija i volja najvišeg menadžmenta preduzeća, aktuelne politike i efikasan softver, kao i režim poslovne tajne pri radu sa zaštićenim informacijama.

U problemu informacione sigurnosti mogu se izdvojiti sljedeći aspekti:

Integritet informacija

Integritet informacija– to je njegova fizička sigurnost, zaštita od uništenja i izobličenja, kao i njegova relevantnost i dosljednost.

Integritet informacija se deli na:

· statični,

· dinamičan.

Statički integritet informacija pretpostavlja nepromjenjivost informacijskih objekata u odnosu na njihovo prvobitno stanje, koje određuje autor ili izvor informacije.

Dynamic Integrity informacije uključuju pitanja ispravnog izvođenja složenih radnji s tokovima informacija, na primjer, analiziranje toka poruka radi identifikacije netačnih, praćenje ispravnog prijenosa poruka, potvrđivanje pojedinačnih poruka, itd.

Integritet je najvažniji aspekt informacione sigurnosti u slučajevima kada se informacije koriste za upravljanje različitim procesima, na primjer, tehničkim, društvenim itd.

Dakle, greška u programu kontrole će dovesti do zaustavljanja kontrolisanog sistema, pogrešno tumačenje zakona može dovesti do njegovog kršenja, kao što netačan prevod uputstva za upotrebu leka može naneti štetu zdravlju. Svi ovi primjeri ilustriraju narušavanje integriteta informacija, što može dovesti do katastrofalnih posljedica. Zbog toga se integritet informacija ističe kao jedna od osnovnih komponenti informacione sigurnosti.

Integritet je garancija da informacije sada postoje u svom izvornom obliku, odnosno da nisu izvršene neovlašćene promene tokom njihovog skladištenja ili prenosa.

Na primjer, kada snimamo informacije o studentima na hard disk računara, nadamo se da će one tamo biti pohranjene neograničeno dugo vremena (dok ih sami ne izbrišemo) nepromijenjene (odnosno, spontano, bez našeg znanja, imena studenata na ovoj listi se ne mijenjaju). Osim toga, računamo na konzistentnost informacija, na primjer, da na spisku učenika neće biti jednogodišnje dijete, ili da isti učenik neće biti na listama dvije grupe odjednom.

Dostupnost informacija

Dostupnost informacija je garancija da će korisnik u određenom roku dobiti traženu informaciju ili informacijsku uslugu.

Uloga dostupnosti informacija posebno je evidentna u različitim vrstama sistema upravljanja – proizvodnim, transportnim itd. Manje dramatične, ali i vrlo neugodne posljedice – kako materijalne tako i moralne – može izazvati dugoročna nedostupnost informacionih servisa koji se koriste. od strane velikog broja ljudi, na primjer, prodaja željezničkih i avio karata, bankarske usluge, pristup Internet informacijskoj mreži itd.

Faktor vremena u određivanju dostupnosti informacija u nekim slučajevima je veoma važan, jer su neke vrste informacija i informacionih usluga značajne samo u određenom vremenskom periodu. Na primjer, dobijanje unaprijed rezervirane avionske karte nakon polaska gubi svaki smisao. Isto tako, dobijanje vremenske prognoze za jučer nema nikakvog smisla, jer se taj događaj već dogodio. U tom kontekstu vrlo je prikladna izreka „Kašika je draga večeri“.

Dostupnost informacija podrazumijeva da subjekt informacionih odnosa (korisnik) ima mogućnost da dobije potrebnu informacijsku uslugu u prihvatljivom roku.

Na primjer, prilikom kreiranja informacionog sistema sa podacima o studentima, očekujemo da ćemo uz pomoć ovog sistema u svakom trenutku u roku od nekoliko sekundi moći dobiti tražene informacije (spisak studenata bilo koje grupe, potpune informacije o određenom učeniku, konačni podaci, na primjer, prosječna starost učenika, broj dječaka i djevojčica i tako dalje).

Treba napomenuti da su elektronski sistemi za obradu podataka kreirani posebno za pružanje određenih informacionih usluga. Ako pružanje takvih usluga postane nemoguće, onda to nanosi štetu svim subjektima informacijskih odnosa. Stoga se, bez suprotstavljanja dostupnosti drugim aspektima, izdvaja kao najvažniji element informacione sigurnosti.

Gotovo sve organizacije imaju povjerljive informacije. To može biti proizvodna tehnologija, softverski proizvod, lični podaci zaposlenih itd. U odnosu na računarske sisteme, lozinke za pristup sistemu su obavezni poverljivi podaci.

Povjerljivost informacija– ovo je garancija dostupnosti određenih informacija samo krugu ljudi kojima su one namijenjene.

Povjerljiva informacija– to su informacije kojima ograničeni broj osoba ima pravo pristupa.

Ako pristup povjerljivim informacijama dobije lice koje nema takvo pravo, onda se takav pristup naziva neovlaštenim i smatra se kršenjem zaštite povjerljivih informacija. Poziva se osoba koja dobije ili pokuša dobiti neovlašteni pristup povjerljivim informacijama uljez.

Na primjer, ako je Sasha poslala Maši pismo e-poštom, tada su informacije u ovom pismu povjerljive, jer je tajnost lične prepiske zaštićena zakonom. Ako je brat Mašine, nakon što je hakovao lozinku, dobio pristup poštanskom sandučetu Mašine i pročitao pismo, onda je došlo do neovlašćenog pristupa povjerljivim informacijama, a Mašinov brat je napadač.

Osiguravanje povjerljivosti informacija je najrazvijeniji dio informacione sigurnosti.

Saveznim zakonom „o informisanju, informatizaciji i zaštiti informacija“ utvrđeno je da informacioni resursi, odnosno pojedinačni dokumenti ili nizovi dokumenata, uključujući i informacione sisteme, koji su predmet odnosa između fizičkih, pravnih lica i države, podležu obaveznoj računovodstva i zaštite, kao i svake materijalne imovine vlasnika. U tom slučaju, vlasniku se daje pravo da samostalno, u okviru svoje nadležnosti, uspostavi režim zaštite informacijskih resursa i pristupa njima. Zakon također utvrđuje da su “povjerljive informacije takve dokumentirane informacije kojima je pristup ograničen u skladu sa zakonodavstvom Ruske Federacije”. Istovremeno, savezni zakon može sadržavati direktnu odredbu prema kojoj je svaka informacija klasifikovana kao povjerljiva ili joj je pristup ograničen. Tako savezni zakon „O informacijama, informatizaciji i zaštiti informacija“ direktno klasifikuje lične podatke (podatke o građanima) kao poverljive informacije. Zakon Ruske Federacije „O bankama i bankarskim aktivnostima“ ograničava pristup informacijama o transakcijama i računima klijenata i korespondenta banaka.

Međutim, direktno pravilo se ne primjenjuje na sve informacije koje predstavljaju povjerljive informacije. Ponekad su zakonom definisane samo karakteristike koje ova informacija mora zadovoljiti. Ovo se posebno odnosi na službene i poslovne tajne, čije su karakteristike određene Građanskim zakonikom Ruske Federacije i su sljedeće:

 relevantne informacije nepoznate trećim licima

 ne postoji pravni osnov za slobodan pristup ovim informacijama

 Vlasnik informacije preduzima mjere za osiguranje povjerljivosti informacija.

Povjerljive informacije se dijele na:

· predmet,

· usluga.

Informacije o predmetu- ovo je informacija o nekom području stvarnog svijeta. što je, zapravo, ono što napadaču treba, na primjer, crteži podmornice ili informacija o lokaciji Osame Bin Ladena. Servisne informacije ne odnosi se na određenu predmetnu oblast, već se odnosi na radne parametre određenog sistema za obradu podataka. Servisne informacije prvenstveno uključuju korisničke lozinke za rad u sistemu. Nakon što je primio servisne informacije (lozinku), napadač ih može koristiti za pristup povjerljivim informacijama.

Kršenje svake od tri kategorije dovodi do narušavanja sigurnosti informacija u cjelini. dakle, kršenje pristupačnosti dovodi do uskraćivanja pristupa informacijama, kršenje integriteta dovodi do falsifikovanja informacija i, konačno, kršenje povjerljivosti dovodi do otkrivanja informacija.

Ovaj aspekt informacione sigurnosti postao je izuzetno aktuelan u posljednje vrijeme zbog donošenja niza međunarodnopravnih akata o zaštiti intelektualne svojine. Ovaj aspekt se uglavnom odnosi na sprečavanje nelegalne upotrebe programa.

Tako, na primjer, ako korisnik instalira nelicencirani Windows sistem na svoj računar, onda dolazi do kršenja sigurnosti informacija.

Osim toga, ovaj aspekt se odnosi na korištenje informacija dobijenih iz elektronskih izvora. Ovaj problem je postao sve izraženiji zbog razvoja interneta. Došlo je do situacije u kojoj korisnik interneta sve informacije koje su tamo objavljene smatra svojim ličnim vlasništvom i koristi ih bez ikakvih ograničenja, često ih predstavljajući kao vlastiti intelektualni proizvod.

Na primjer, učenik „skine“ esej sa interneta i preda ga nastavniku pod svojim prezimenom.

Zakonski akti i praksa sprovođenja zakona u vezi sa ovim problemom su još u povojima.

Treba napomenuti da iako u svim civilizovanim zemljama postoje zakoni koji čuvaju bezbednost građana (uključujući i informacionu bezbednost), u oblasti računarske tehnologije praksa sprovođenja zakona još uvek nije dovoljno razvijena, a zakonodavni proces ne ide u korak sa razvoj tehnologije, pa se proces osiguranja informacione sigurnosti u velikoj mjeri zasniva na mjerama samoodbrane.

Stoga je neophodno razumjeti odakle prijetnje informacijskoj sigurnosti mogu doći i koje one mogu biti, koje mjere se mogu poduzeti za zaštitu informacija i biti u stanju da te mjere kompetentno primijenimo.

Korporativna sigurnost uopće nije nova pojava. Ono što je tek nedavno počelo da se naziva ovim terminom, postoji od početka trgovine. Svaki trgovac je nastojao zaštititi svoje profesionalne tajne od konkurenata, kako ne bi izgubio profit.

Savremene realnosti korporativne sigurnosti kompanije

Zapravo, moderna korporativna sigurnost se ne razlikuje mnogo od stare. Menjaju se samo realnosti u kojima privrednici moraju da posluju. Svaka kompanija želi biti pouzdano zaštićena ne samo od vanjskih prijetnji, već i od internih. Ovaj problem rješavaju stručnjaci za korporativnu i informatičku sigurnost. Oni su suočeni sa zadatkom sprovođenja čitavog niza mjera, uključujući gotovo sva područja života kompanije:

  • zaštita poslovnih tajni;
  • interni rad sa zaposlenima;
  • domaća kontraobavještajna služba;
  • službene istrage;
  • ekonomična sigurnost;
  • tehnička i fizička zaštita.

Ako postoje problemi s barem jednom od ovih tačaka, bit će problema. Ne tako davno u Velikoj Britaniji je izbio skandal - hard diskovi sa podacima o pacijentima klinike koji su trebali biti uništeni iznenada su završili na eBay aukcijama.

Bolnice su prenijele diskove koji su rasterećeni ugovornoj kompaniji, koja je zauzvrat koristila usluge privatne strane. Preduzetni Englez, umjesto da savjesno ispunjava svoje obaveze - uništava medije - stavlja diskove sa podacima na prodaju.

U ovom slučaju dvije tačke se mogu nazvati „slaba karika“ - interni rad sa zaposlenima i tehnička zaštita. Hajde da shvatimo zašto. Curenje je uzrokovano predugačkim lancem posrednika, zbog čega kupac nije bio ni svjestan ko je direktno uključen u uništavanje diskova i čije radnje treba pratiti. Osim toga, sama činjenica da su bolnice prenosile diskove sa nezaštićenim ličnim podacima pacijenata trećim licima predstavlja tehnički propust zaposlenih.

Odgovoran pristup osiguravanju korporativne informacione sigurnosti pomogao bi da se izbjegne ova situacija. Hajde da shvatimo šta treba da se uradi da bismo dobili zaista funkcionalan sistem bezbednosti informacija.

Kako prepoznati lopova u kompaniji koristeći KIB SearchInform?

Tri teška koraka

Pre nego što počnete da gradite efikasan sistem bezbednosti informacija, potrebno je pažljivo analizirati sistem skladištenja i obrade podataka koji već postoji u preduzeću. Postoje tri glavna koraka koja je potrebno poduzeti da biste to učinili:

1. Identifikacija kritičnih informacija.

2. Identifikacija slabosti u korporativnoj sigurnosti.

3. Procjena mogućnosti zaštite ovih informacija.

Sve ove radnje mogu obaviti ili vaši zaposlenici ili možete naručiti reviziju informacione sigurnosti kompanije od stručnjaka. Prednosti prve metode su niža cijena i, što je najvažnije, nedostatak pristupa korporativnim podacima za treća lica. Međutim, ako organizacija nema dobre stručnjake za sigurnosnu reviziju s punim radnim vremenom, onda je najbolje pribjeći pomoći trećih kompanija - rezultat će biti pouzdaniji. To će vam pomoći da izbjegnete najčešće greške u informacionoj sigurnosti.

„Najčešće greške- ovo je potcjenjivanje i precjenjivanje prijetnji poslovnoj aktivnosti, - smatra Aleksandar Doronin, stručnjak za ekonomsku sigurnost i autor Business Intelligence. “U prvom slučaju, postoje rupe u sigurnosnom sistemu preduzeća, što za organizaciju rezultira direktnom štetom od curenja povjerljivih informacija, korporativne prijevare i direktne krađe svega što dođe pod ruku.”

Kada se precenjuju pretnje, sistem bezbednosti ne samo da opterećuje budžet preduzeća, već i neopravdano otežava zaposlenima u organizaciji da ispunjavaju svoje zadatke. To prijeti gubitkom mogućeg profita i gubitkom konkurentnosti.”

Identifikacija kritičnih informacija. U ovoj fazi dolazi do identifikacije onih dokumenata i podataka čija je sigurnost od velikog značaja za kompaniju, a čije curenje uzrokuje ogromne gubitke. Najčešće takve informacije uključuju podatke koji predstavljaju poslovnu tajnu, ali ne samo.

Na primjer, nakon usvajanja novog izdanja saveznog zakona „O ličnim podacima“, potrebno je zaštititi i sve informacije koje organizacija prikupi o svojim zaposlenima i klijentima. Prošlogodišnji niz curenja informacija iz Megafona, online prodavnica i Ruskih željeznica, kao i novčane kazne koje su primili počinioci ovih incidenata, najbolji su dokaz o potrebi zaštite takvih informacija.

Važno je zapamtiti: revizori treće strane ne mogu samostalno sastaviti listu svih dokumenata koje je potrebno zaštititi. Posao revizora treba obavljati zajedno sa zaposlenim u preduzeću koji je dobro upoznat sa posebnostima toka dokumenata.

Identifikacija slabosti u korporativnoj sigurnosti. Ovaj zadatak obavljaju direktno stručnjaci koji sprovode reviziju. Izbor šeme dizajna informacione sigurnosti zavisi od rezultata ovog rada.

Prilikom utvrđivanja nedostataka u informacijama i, kao posljedica toga, korporativne sigurnosti, procjenjuju se ne samo tehnička sredstva. Vrlo važna stvar je postojanje diferencijacije prava na pristup zaposlenika ovim ili onim informacijama, kao i ugovor o neotkrivanju korporativnih informacija. Također je važno procijeniti lojalnost zaposlenih menadžmentu i odnosima u timu – sve je to u nadležnosti HR odjela.

Nedavni primjer situacije u kojoj je zaposlenik iskoristio svoju poziciju i ukrao informacije bila je krađa informacija o startupu Mocality od strane kenijskog predstavništva Google-a (baza podataka o poslovanju na mreži). Gugl je bio primoran da se službeno izvini žrtvama, a šef predstavništva, čijom se krivicom dogodio incident, smijenjen je sa funkcije.

Procjena sposobnosti informacione sigurnosti. Ovo je završna faza revizije, tokom koje se, na osnovu analize, sastavlja lista konkretnih mjera koje se moraju poduzeti da bi se zaštitile korporativne tajne kompanije. Preporuke mogu biti tehničke i organizacijske prirode.

Pored toga, u ovoj fazi se analiziraju finansijske mogućnosti kompanije da zaštiti informacije, jer se mnogi alati za zaštitu informacija mogu pokazati preskupim za preduzeće. A neke od ovih mjera jednostavno nisu praktične za mala preduzeća. Posebna potreba se javlja ako organizacija koristi 50 ili više računara.

Instalacija DLP sistema uvijek prethodi tehničkoj reviziji. Nakon naručivanja, kupca konsultuju SearchInform inženjeri, koji procenjuju IT infrastrukturu kompanije i određuju koliki je kapacitet potreban za instaliranje programa.

Dvosmjerna zaštita

Sigurnost informacija je samo jedan od mnogih načina (iako najvažniji) za osiguranje korporativne zaštite. Potreban je set mjera – tehničkih i organizacionih.

Tehnička rješenja za zaštitu korporativnih tajni uključuju instalaciju DLP sistema (Data Leak Prevention). Ovaj skup softverskih alata prati sve tokove informacija u organizaciji - od e-pošte do programa koji koriste algoritme šifriranja (na primjer, Skype) ili HTTPS protokol. Svi prenosivi mediji za skladištenje podataka, korporativni računari i laptopi su takođe pod kontrolom.

Važna karakteristika DLP sistema je njihova autonomija. Nema potrebe da kompanija održava čitavo odeljenje posvećeno bezbednosti informacija. Dovoljno je samo nekoliko specijalista.

Nedavno istraživanje SearchInforma, vodećeg igrača na ruskom tržištu informacione sigurnosti, pokazalo je da DLP sistemi sada nisu previše popularni u Rusiji i zemljama ZND. Nešto više od polovine organizacija (58%) planira uskoro instalirati sveobuhvatnu sigurnost. Ostali ne smatraju njeno sprovođenje potrebnom ili smatraju da je delimična zaštita dovoljna. Međutim, informaciona sigurnost će biti na optimalnom nivou samo kada se obezbedi sveobuhvatna zaštita.

DLP sistem omogućava ne samo pouzdanu zaštitu tajni. Njihove funkcije su mnogo šire: pravilnim pristupom možete dobiti informacije o raspoloženju zaposlenih u timu, pratiti kretanje ključnih dokumenata, dolaznih i odlaznih poruka. Kao rezultat toga, upotreba DLP sistema je takođe efikasna pomoć u tako važnim korporativnim bezbednosnim aktivnostima kao što su interna kontraobaveštajna služba ili interne istrage.

Međutim, samo tehnička sigurnost podataka i praćenje radnji zaposlenih nisu dovoljni. Bitne su i organizacione mjere, rad sa zaposlenima i izrada interne dokumentacije.

“Sistem korporativne sigurnosti mora biti sveobuhvatan, inače će biti kao od šale: na ulazu zaštitar striktno provjerava propusnice zaposlenih u kompaniji, a dvadesetak metara od ulaza postoji rupa kroz koju svako može ući u kompaniju. teritorija”, dijeli svoje iskustvo Aleksandar Doronin.

Organizacioni rad obuhvata informisanje osoblja o prisutnosti sistema informacione bezbednosti u organizaciji, potrebi čuvanja poslovne tajne i mogućim posledicama njenog odavanja, kako za kompaniju tako i za samog zaposlenog. Stvaranje pozitivnog radnog okruženja je još jedan ključni aspekt organizacionih mjera. Korporativna sigurnost je nemoguća ako zaposleni gledaju jedni na druge s nepovjerenjem. Takav “hladni rat” značajno će usporiti poslovne procese. Stoga vrijedi još jednom podsjetiti na važnu ulogu odjela za ljudske resurse.

Što se tiče izrade interne dokumentacije, moraju se jasno navesti odgovornosti zaposlenih, kao i njihova prava na pristup određenim dokumentima. Svaki odjel mora obavljati zadatke koji su mu dodijeljeni – ni više, ni manje.

Ne smijemo zaboraviti na tako naizgled osnovne stvari kao što je rad službe sigurnosti. Fizička zaštita zaposlenih na radnom mestu takođe je važan deo korporativne bezbednosti.

Samo postizanjem takve dvosmjerne – tehničke i organizacijske – zaštite, bez preuveličavanja ili minimiziranja prijetnje, možete stvoriti pouzdanu korporativnu zaštitu za kompaniju.

mob_info