Brand_name Arnis_logo
Центр информационной безопасности
главная > информация по теме

Организация защиты информации на предприятии

Рано или поздно общий вопрос о защищенности бизнеса "расползается" на слабо связываемые сферы - защиты в ее историческом понимании с помощью охранных структур, вооруженных техническими средствами наблюдения и охраны материальных средств предприятия и защиты активов, материализованных на всевозможных носителях информации, надежный учет которых не гарантирует их сохранности.

Информация любого предприятия при утечке или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов и партнеров и падении финансовых результатов. Еще серьезнее последствия у компаний ИТ-сферы при потере информации - баз данных, результатов аналитических исследований, исходных кодов, программных продуктов, персональных данных клиентов, без которых дальнейшее продолжение бизнеса становится проблемным, если вообще возможным, а с уничтожением улик и расследование становится бесперспективным. Определяющий фактор экономической безопасности такого предприятия - информационная безопасность, а ее ключевой аргумент - уровень защиты информации.

Применение антивирусных программ стало повсеместным, что, к сожалению, заметно успокоило руководителей предприятий. Однако, статистика обращений в компании, занимающиеся информационной безопасностью, показывает, что инциденты, связанные с работой информационных систем, становятся более серьезными, а причины - менее явными, и, как правило, не всегда устранимыми силами обслуживающего персонала, что и вызывает нормальную озабоченность заинтересованных лиц в надежном решении проблемы непрерывности бизнеса и защищенности его информационных ресурсов независимо от сферы деятельности.

Любая коммерческая информация имеет свою цену, бесспорно, осталось решить как и какими средствами обеспечить ее защиту? Забегая вперед, можно констатировать - для подавляющего большинства российских компаний задача защиты коммерческой информации безболезненно решаема в обозримые сроки и при незначительных финансовых затратах. Как это сделать?

Зафиксируем принципиальные условия. Для достижения цели будем руководствоваться принципом экономической целесообразности затрат на обеспечение защиты информации - они не должны превышать величину потенциального ущерба от ее нарушения или утраты. И второе, как следствие первого - пока предприятию не грозит международное признание организацию адекватной защиты информации будем строить, не опираясь на требования отечественных и международных стандартов и немного отстраняясь от "трех китов" информационной безопасности, тем более, что для подавляющего большинства российских предприятий необходимость сомнительная.

Сначала уточним, что же именно необходимо защитить? Информация не существует сама по себе, она хранится на разнообразных носителях - на бумаге по полкам и ящикам, в базах данных и разрозненных файлах на магнитных носителях серверов и рабочих мест, в головах осведомленных сотрудников и передается по каналам связи между устройствами и сетями. Естественно, вопрос защиты информации на каждом из перечисленных типов носителей решается совершенно разными способами, поэтому оставим вопросы физической защиты носителей и способы противодействия шпионажу традиционным службам безопасности и сделаем акцент на защиту информации в корпоративной сети предприятия и необходимые организационные меры для защиты технологии обработки информации.

Проведем инвентаризацию информационных ресурсов. Лоточную торговлю и нефтяной промысел вместе с международными корпорациями оставляем за кадром. Рассмотрим предприятие неопределенной сферы деятельности (услуги, производство, торговля) с распределенными по корпоративной сети коммерческими информационными ресурсами, требующими повышенной степени защиты. Какую информацию и почему следует защищать? В первом приближении это:

Текущие обстоятельства - все работает. Очень хорошо. Спокойствию штатных и приходящих "биллгейтсов" можно позавидовать, но полистайте их должностные инструкции, если они есть, - основная обязанность технического персонала заключается в обеспечении функционирования корпоративной сети, а защищенность информации - не их забота и решается, в лучшем случае, в пределах обеспечения защиты функционирования ресурсов и технологий на приемлемом для них уровне и ни на грош не более. Разве не так?

Следующий шаг - проводим инвентаризацию всех технических средств хранения, обработки и передачи информации и прочих технологических элементов и составляем перечень:

Но производят информацию не компьютерные системы, они лишь обрабатывают одни сообщения и вырабатывают другие, а информация в форме сведений порождается в голове человека, которые затем обрабатываются вне и возвращаются ему в виде новых сведений, представляющих интерес уже для более широкого круга потребителей. Выявляем основные группы пользователей информацией:

С приемлемой степенью точности классифицируем информацию по важности для последующего выбора средств защиты и определения прав доступа. За точку отсчета, к примеру, можно принять требования закона РФ "О персональных данных", выполнение которых он обязывает практически все компании. Это позволяет определить относительную важность всей информации и, впоследствии, определить необходимые средства для ее защиты, обеспечивающие не только требования закона, но и противодействие интересам последних групп потенциальных и реальных пользователей.

Выявляем доступность информации, подлежащей защите, перечисленным группам пользователей, при этом заметим, что каждая из групп, и, прежде всего, сотрудники, не должны иметь полный доступ ко всей информации. Необходимо определить их права по доступу к информации, построив своеобразную матрицу "информация-права_доступа" или "информация-группы_пользователи" и определить и разграничить полномочия, пока на бумаге.

Страница 1 2 3

© Центр Сетевой Безопасности Арнис, 2008

о компании | карта сайта | политика конфиденциальности | условия использования | ©2005-2017 Arnis Security mail address Главная страница