Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы деятельности, начиная с экономической безопасности и заканчивая вопросами физической защиты персонала и охраны зданий и сооружений. Среди комплекса направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов предприятия и относимая, в соответствии с устоявшейся практикой, к понятию «информационная безопасность».
Современное состояние обеспечения безопасности информации в корпоративных структурах характеризуются двумя основными особенностями. С одной стороны рынок организационных и технических средств и методов защиты представляет широчайшие возможности для выбора отечественных и зарубежных средств обеспечения безопасности – razgovorodele.ru. С другой стороны слабое понимание и недооценка значимости и ценности информации для корпоративных структур различной формы собственности, упрощенный подход к организации деятельности службы безопасности, не говоря уже о комплексных решениях по защите информации, системном анализе и системах управления безопасностью объектов защиты.
Для владельца одинаково важно предотвратить утечку информации по обусловленному каналу связи и через мусорную корзинку, избежать уничтожения информации в базах данных через шлюз Internet или через пожар от окурка, небрежно брошенного нерадивым сотрудником. Следует учитывать, что обеспечение безопасности имеет множество аспектов оно имеет как организационное, техническое, так и «человеческое» лицо. Руководство предприятия однозначно должно понимать, что недооценка действующих или предполагаемых угроз может привести к ущербу, величина и вероятность которого растет пропорционально успехам и значимости предприятия в иерархической лестнице общества. Практика показывает, что лучше учиться на ошибках других и исповедовать принцип “противодействуй вначале”. Это обойдется значительно дешевле.
Решение проблемы обеспечения безопасности информации на современном уровне
Имеющиеся подходы к проблеме создания инструментов и методик оценки интегрального уровня информационной безопасности
Объекты информационной безопасности: многоуровневая модель
Основные правила построения системы информационной безопасности бизнес-структуры
Построение системы защиты целесообразно проводить с принципами защиты, которые достаточно универсальны для самых разных предметных областей (инженерное обеспечение в армии, физическая безопасность лиц и территорий и т.д.) Учет этих принципов поможет избежать лишних расходов при построении системы защиты информации и в то же время добиться действительно высокого уровня информационной безопасности бизнеса.
Построение системы защиты информации бизнес-структуры
Базовые методы и средства обеспечения информационной безопасности предприятия
Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Методика построения корпоративной системы защиты информации
Прежде чем предлагать какие-либо решения по системе информационной безопасности, предстоит разработать политику безопасности. Организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия. Система информационной безопасности окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот.
Организационная политика безопасности и порядок ее формирования
Особенности разработки, качество и полнота концепций безопасности, предлагаемых руководителю организации
Деятельность любой организации так или иначе подвержена тем или иным угрозам и, соответственно, сопряжена с рисками их осуществления. Развитие и распространение информационных технологий кроме расширения возможностей и повышения эффективности работы влечет за собой усиление зависимости от информационно-телекоммуникационных систем и, как следствие, меняет структуру предпринимательского риска. В частности, возрастает стратегический риск в связи с возможностью ошибиться в отношении выбора того или иного информационно-технологического направления – razgovorodele.ru. Увеличивается операционный риск в связи с возможными сбоями в информационных системах при выполнении деловых и управленческих операций. Возрастают также правовой, репутационный и системный риски. Правовой риск возрастает в связи с отставанием нормативной базы от развития информационных технологий. Репутационный риск возрастает в связи с распространением информации о сбоях и проблемах, связанных с используемыми новыми информационными технологиями, даже если они происходят не в данной организации, а при использовании подобных систем где-то в другом месте. Системный риск относится к сфере деятельности (отрасли) в целом и является поводом для беспокойства организаций, ответственных за ее состояние.
Отмеченное усиление зависимости результатов работы организаций от работы информационных систем требует соответствующего обеспечения информационной безопасности. Обеспечение безопасности предпринимательской и управленческой деятельности имеет целью снижение рисков, с которыми связано ее ведение, до некоего приемлемого уровня.
Страхование информационных рисков в связи с развитием технологий
Рассмотренная нами методика позволяет оценить или переоценить уровень текущего состояния защищенности информационных активов предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности. В том числе снизить потенциальные потери путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности.
Рассмотренная методика также позволяет предложить планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования