2020-07-12
95
Практика показывает, что для успешного внедрения информационной безопасности в организации решающими являются следующие факторы:
соответствие целей, политик и процедур информационной безопасности целям бизнеса.
Согласованность подхода к внедрению системы безопасности с корпоративной культурой.
Видимая поддержка и заинтересованность со стороны руководства.
Четкое понимание требований безопасности, оценка рисков и управление рисками.
Обеспечение понимания необходимости применения мер информационной безопасности руководством и сотрудниками организации.
Передача инструкций в отношении политики информационной безопасности и соответствующих стандартов всем сотрудникам и контрагентам.
Обеспечение необходимого обучения и подготовки.
Всесторонняя и сбалансированная система измеряемых показателей, используемых для оценки эффективности управления информационной безопасностью и предложений по ее улучшению, поступивших от исполнителей.
|
|
|
Основными угрозами бизнесу для сбытовых компаний можно определить утрату либо искажение как внешним, так и внутренним врагом информационных массивов (баз данных используемых для работы).
Наряду с этим хотелось отметить, что под защитой информации необходимо понимать не только защиту электронного документооборота, но и документооборот на бумажных носителях, и защиту речевой информации и т. д., где специалисты IT не обладают необходимым уровнем подготовки.
Для эффективного контура ИБ необходимо его документальное оформление:
«Политика корпоративной безопасности»,
«Политика информационной безопасности».
Политика информационной безопасности должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:
Определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации.
Изложение целей и принципов информационной безопасности, сформулированных руководством.
Краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:
Соответствие законодательным требованиям и договорным обязательствам.
Требования в отношении обучения вопросам безопасности.
Предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения.
|
|
|
Управление непрерывностью бизнеса.
Ответственность за нарушения политики безопасности.
Определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности.
Ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.
Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и понятной форме.
«Стандарт информационной безопасности», «Стандарт классифицирования активов (объектов), на основе которых формируется системный подход к защите информации.
Могут быть иные документы, исходя из приоритетов производственной деятельности организации.
Все документы разрабатываются подразделениями по своим направлениям деятельности. При разработке указанных и иных документов другими подразделениями (IT, Канцелярия, кадры и т. д.), имеющих отношение к регламентам оборота предмета защиты, они в обязательном отношении должны согласовываться с подразделениями безопасности, чтобы не нарушались создаваемая система и регламенты проверок.
Абсолютно не эффективной в развитии станет организованная работа и функционирование системы без комплексного обучения персонала компании соблюдению регламентов по ИБ. В этой связи необходимо проведение учебы персонала по направлению деятельности отдела кадров, с формированием групп и потоков, исходя из уровня обучаемых.
Контроль эффективности действия контура ИБ необходимо осуществлять внутренними аудитами как по линии ИБ, так и по режиму. Проверки должны проходить планово, внезапно, в том числе с мониторингом технических каналов и охватывать технологии всего документооборота и информационных потоков.
Результаты устранения выявленных недостатков, в том числе вскрытые недоработки, дефекты созданных технологических процессов оборота информационных массивов заслушиваются на совещаниях у руководства организации и на Постоянной действующей комиссии, заместителем председателя которой является руководитель СБ.
Не малую роль в поддержании на необходимом уровне контура ИБ играет группа технического контроля при постоянно действующей комиссии по защите КИ. Основными функциями данной группы являются:
Проведение внутренних аудитов технологии обработки конфиденциальной информации.
Контроль состояния информационной безопасности приобработки конфиденциальной информации на бумажных и электронных носителях.
Выработка рекомендаций по данному направлению деятельности.
Вскрытые нарушения квалифицируются как несоответствия и подлежат дисциплинарному расследованию.
При создании системы ИБ необходимо увязывать ее со стратегией деятельности компании и иметь поддержку в реализации со стороны высшего руководства компании.
7. РАЗРАБОТКА ЗАЩИТНЫ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ.
Помимо организационных мер по защите информации требуется отлаженный механизм технических мер. Для того чтобы избежать потери информации необходимо обеспечивать защиту и выполнять общие требования.
Таблица №2.
| Зона уязвимости: | Виды защитных мер |
| Пожар | Оборудовать пожарную сигнализацию; установить необходимое количество огнетушителей; назначить ответственного за пожарную безопасность провести инструктаж по пожарной безопасности с работниками предприятия; выполнять плановые и внеплановые проверки исправности проводки. |
| Преднамеренное повреждение | Создать затруднительный доступ кпроводами другим каналам связи, обеспечить отделение камерами видеонаблюдения и дополнительной сигнализацией. |
| Неисправности аппаратных средств | Своевременная замена и ремонт оборудования; изолировать от посторонних лиц важные аппаратные средства, чтобы исключить умышленное и случайное повреждение; проводить периодические проверки исправности аппаратных средств. |
| Износ среды хранения | Осуществление обновления БД и аппаратной части; хранение копий БД на отдельном компьютере. |
| Авария ПО | Создавать резервные копии; постоянно обновлять ПО; ограничить пользование нелицензионными копиями ПО. |
| Подделка идентификатора пользователя | Обеспечить каждый ПК уникальным паролем. Пароли должны соответствовать следующим требованиям: 1) длина пароля должна быть не менее 8 символов; 2) в числе символов пароля обязательно должны присутствовать буквы, цифры и специальные символы; 3) пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, и т. д.); 4) при смене пароля новое значение должно отличаться от предыдущего не менее, чем в 4 позициях; 5) смена паролей должна проводиться регулярно не реже одного раза в месяц; 6) одинаковых паролей не должно быть. |
| Вредоносное программное обеспечение | Защита ПО с помощью антивирусных программ; никогда не копировать на свой винчестер/дискету программы, не проверенные на наличие вируса; не копировать программы с ненадежных источников; вести внимательное наблюдение за новой программой (желательно эксплуатировать ее на специальном компьютере); иметь копии всех ценных программ и хранить их на защищенных дисках; установить по возможности системным файлам атрибут «только для чтения»; иметь системный диск с антивирусными программами. |
| Нелегальный импорт/экспорт программного обеспечения | Запретить копирование ПОс сервера и других ПК; отслеживать трафик. |
| Доступ к сети неавторизованных пользователей | Контролировать действия неавторизованного пользователя; возложить ответственность за какие-либо неисправности; сообщать администратору об известных входах в сеть неавторизованным способом. |
| Ошибка операционного персонала | Ограничить уровень допуска в соответствии с необходимостью; набор только квалифицированного персонала; проведение семинаров по обучению работы с новым ПО. |
| Техническая неисправность компонентов сети | Постоянно следить за компонентами сети; своевременный ремонт и замена оборудования; запретить доступ к компонентам сети, кроме технического обслуживания. |
| Ошибки при передаче | Использование различных алгоритмов разделения файлов при передачи; проверка контрольных сумм. |
| Повреждения в линиях связи | Обеспечить затруднительный доступ к линиям связи; расположить провода ближе к потолку и убрать их в коробки. |
| Перехват | Сделать невозможным прямой доступ к сети; кодировать всю информацию при передачи; анализировать трафик. |
| Ошибочная маршрутизация сообщений | Исключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы. |
| Повторная маршрутизация сообщений | Исключить ошибочную передачу сведений из локальной сети по сети Интернет; вести таблицу маршрутизации и постоянно ее обновлять, отсылая запросы. |
| Неправильное использование ресурсов | Установить приоритет на запросы; ограничить доступ к ним для всех на определенной время; использовать многоканальный доступ. |
|
|
|
|
|
|
ЗАКЛЮЧЕНИЕ.
В данном отчете по производственной практике были рассмотрены и проанализированы возможные угрозы нападения на информационные ресурсы“КАПО им. С.П. Горбунова” разработаны методы и средства защиты конфиденциальной информации. В процессе прохождения практики были выявлены опасные угрозы для информации, разработаны правила и защитные меры при самых критических ситуациях, получены такие навыки, как:
Проверки, настройки и использования технических и программных средств подразделения по защите информации
Выполнения основных функциональных обязанностей в соответствии с должностью.
Работы с технической и эксплуатационной документацией.
Реализация системы защиты информации в автоматизированных системах в соответствии со стандартами по оценке защищенных систем.
Можно подвести итог, что политика ИБ должна существовать во всех организациях и госучреждениях, где имеются компьютеры для необходимой защиты, применение которой должно быть целесообразно.
СПИСОК ИСПОЛЬЗУМЕЫХ ИСТОЧНИКОВ.
1. Сидорин Ю.С. Технические средства защиты информации: Учеб. пособие.\ Под ред. Г.А. Краюхина. – СПб.: Издательство Политехнического университета, 2005.
2. Андреева, В.И. Делопроизводство. - М.: ООО "Управление персоналом", 2011.
3. Делопроизводство. Организация и технология документационного обеспечения управления / Т.В. Кузнецова. - М.: Юнити-Дана, 2013.
4. Закон о персональных данных: последствия для делопроизводства / Н.А. Храмцовская // Делопроизводство и документооборот на предприятии. - 2012
5. Ильин, К. Вопросы информационной безопасности при электронном документообороте // Защита информации. INSIDE. - 2010
6. Ефимов А.И., Пальчун Б.П. О технологической безопасности компьютерной инфосферы // Вопросы защиты информации. - 2005
7. Информационная безопасность / В.А. Трайнев. - М.: Дашков и К', 2010.
8. Конфиденциальность, надежность, управляемость / Г. Зотова // Сетевой журнал. - 2013.
9. Алексенцев, А.И. Конфиденциальное делопроизводство - М.: ООО "Журнал "Управление персоналом", 2013.
10. Архивы предприятия КАЗ им.С.П. Горбунова филиала ПАО''Туполев''
