Экспертиза

12
августа
2020 год

Проблемы защиты информации на предприятии

Музалевский Фёдор Александрович
Ведущий эксперт компьютерно-технического направления

Обеспечение информационной безопасности (ИБ) стало неотъемлемым процессом функционирования предприятий с различными видами деятельности. Основные составляющие информационной безопасности – это целостность информации, ее конфиденциальность и доступность.

Под целостностью понимается свойство информации, характеризующее ее устойчивость к случайному или преднамеренному разрушению или несанкционированному изменению. Конфиденциальность информации – это свойство информации быть известной и доступной только правомочным субъектам (программам, процессам, пользователям). Доступность – свойство системы обеспечивать своевременный беспрепятственный доступ правомочных субъектов к интересующей их информации.

Моделирование угроз безопасности

Исходя их указанных выше свойств, но не ограничиваясь ими, определяются угрозы безопасности информации, а сам процесс защиты информации направлен на предотвращение угроз и устранение последствий при совершении действий с информацией (сбор, хранение, обработка, передача).

Здесь важным моментом является моделирование угроз безопасности – необходимо определять перечень актуальных угроз и потенциальных нарушителей во избежание лишних затрат и исключения возможности непринятия во внимание угроз с учетом специфики деятельности организации.

Некорректное моделирование угроз следует отнести к одной из основополагающих проблем защиты информации, так как упущение из рассмотрения того или иного фактора может привести к реализации угроз безопасности, которые могут привести к ухудшению всех финансово-экономических показателей деятельности предприятия вплоть до прекращения его функционирования.

Что включает в себя защита информации

Защита информации включает в себя:

  • комплекс организационных мероприятий
  • комплекс технических мероприятий.

Существует немалое количество проблем защиты информации, и охватить их все не предоставляется возможности, однако выделим некоторые из них.

Так как информационная безопасность – это безопасность связанная с угрозами в информационной сфере, то следует напомнить о том, что Система Информационной безопасности (СИБ), это совокупность защитных мер, защитных средств и процессов эксплуатации, включая ресурсное и административное (организационное) обеспечение.

Организационное обеспечение – это обеспечение, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на предприятии. Ограничения устанавливаются в актуальных, качественных, всеобъемлющих внутренних нормативных документах, инструкция, положениях, приказах, регламентах.

В обязательном порядке в таких документах должны быть определены:

  • ответственность каждого сотрудника;
  • степень определения тяжести последствий за разглашение тех или иных сведений;
  • невыполнение требований внутренних нормативных документов и применимые санкции;
  • порядок безопасной работы в тех или иных информационных системах;
  • порядок действий в различных ситуациях;
  • определен запрет на те или иные действия;
  • выделены роли лиц ответственных за обеспечение информационной безопасности, их права, полномочия, выделяемые ресурсы и т.д.

Однако не всегда Руководители организаций имеют достаточный уровень осознания степени значимости Системы ИБ, и не готовы выделять ресурсы как на содержание в штате организации сотрудника ответственного за обеспечение ИБ, так и  для своевременного повышения квалификации уже имеющихся сотрудников подразделений ИБ.

Не готовы Руководители организаций и предприятий выделять ресурсы на приобретение готовых решений по технической защите информации и систем DLP, не готовы определять права и полномочия сотрудников ответственных за обеспечение ИБ и в целом курировать данное направление, не готовы учитывать профессиональные мнения и замечания таких сотрудников, которые не приносят прибыль организации, а только постоянно требуют выделить денежные средства на приобретение средств защиты информации.

В таких ситуациях все зависит от настойчивости сотрудника ответственного за обеспечение ИБ, в его коммуникабельности, компетентности, и каким образом он   может донести информацию до руководителя о необходимости предоставления полномочий и финансирования. Для убедительности руководителю организации нужны доводы и обоснования, которые лучше всего предоставлять в виде оценки рисков и возможных последствий.

Техническое обеспечение – это комплекс технических средств, предназначенных для обеспечения работы системы ИБ. К таким техническим средствам относятся: системы регистрации событий, системы анализа, контроля и мониторинга состояния ИБ, системы управления доступом, системы защиты от воздействия вредоносного кода, системы контроля подключения и использования съемных носителей информации, системы предотвращения утечек информации и т.д.

Однако и в техническом обеспечении имеется ряд определенных проблем. Одной из них, как было упомянуто выше, является не достаточный уровень квалификации сотрудника ответственного за обеспечение ИБ в установке, настройке, эксплуатации и контроле работоспособности технических средств защиты информации, что в свою очередь может привести к возникновению уязвимости, которую злоумышленники могут использовать для реализации угроз ИБ.

Еще одной проблемой может являться приобретение готовых продуктов и решений, с невысокой стоимостью, но не прошедших установленных процедур сертификации уполномоченных органов, не соответствующих требуемым качествам, предъявляемым к таким системам, и не включающим в поставляемый пакет технической поддержки. Отсутствие совершенствования имеющихся систем может снизить качество их функционирования и степени надежности таких систем.

Это только малый перечень проблем, которые требуют обсуждения и на которые стоит обратить внимание Руководителям организаций и предприятий. Но при должном уровне осознания руководством значимости информационной безопасности, грамотном расчете потенциальных рисков, и возможного ущерба, при качественной минимизации негативных последствий, при достаточном уровне определения прав и полномочий ответственных сотрудников, своевременном совершенствовании имеющихся систем, при должном финансировании большинство проблем можно избежать, связанных как с нарушением одних из свойств ИБ, так и связанных с незаконными финансовыми потерями, деловой репутацией.

Источник: RTM GROUP


Вернуться к списку экспертиз

Подписаться

Подпишитесь на нашу рассылку, чтобы быть в курсе новостей АБИСС