Безопасность информации - состояние защищенности информационных ресурсов в вычислительных сетях и системах предприятия от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное функционирование систем, попыток разрушения её компонентов.
Цели защиты информации:
предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;
сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:
· защита от вмешательства в процесс функционирования предприятия посторонних лиц;
· защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;
· обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;
· обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;
· регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;
· своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;
· анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;
· обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;
· создание и формирование целенаправленной политики безопасности информации предприятия.
Мероприятия и средства по совершенствованию системы информационной безопасности
Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.
Административный уровень информационной безопасности.
Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.
Политика безопасности - это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.
Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.
Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.
В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.
Организационный уровень защиты информации.
Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:
§ Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;
§ Разработка необходимых мероприятий направленных на совершенствовании системы экономической, социальной и информационной безопасности предприятия.
§ Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.
§ Строгий контроль соблюдения сотрудниками правил работы с конфиденциальной информацией;
§ Контроль соблюдения правил хранения рабочей документации сотрудников предприятия;
§ Плановое проведение собраний, семинаров, обсуждений по вопросам информационной безопасности предприятия;
§ Регулярная (плановая) проверка и обслуживание всех информационных систем и информационной инфраструктуры на работоспособность.
§ Назначить системного администратора на постоянной основе.