Методы защиты информации в современной организации - Book-Science - Научная энциклопедия
Профиль
Рейтинги
Новые
Категории
  • Новости
  • Статьи
  • Работы
  • Исследования
  • Заметки
  • Комменты

Методы защиты информации в современной организации

Разместил: Admin, 9 April 2011

В настоящее время информационные процессы, к которым относится и накопление знаний об окружающем мире, по существу определяют общественное развитие. Информация в системе, опирающаяся на информационные технологии, является критическим ресурсом, своеобразным капиталом, который позволяет использующим его организациям выполнять свои функции. При этом система будет выполнять эти функции эффективно только при осуществлении надлежащего контроля над информацией в целях обеспечения надлежащего уровня защиты, поскольку утеря информации является одним из ключевых факторов, приводящих к реализации организационных рисков в современных условиях.

Информация и обрабатывающие ее информационные системы и сети являются неотъемлемыми производственными ресурсами современной организации. Их доступность, целостность и конфиденциальность имеют особое значение для обеспечения устойчивости организации и ее развития. Для современной организации угроза нарушения режима безопасности может исходить от целого ряда источников, к которым относятся такие опасности, как преступления в сфере информационных технологий, а также другие источники отказов информационных систем и аварий. Поскольку зависимость организаций различного уровня от информационных систем и сервисов неумолимо возрастает, а вместе с этим увеличивается и уязвимость организаций по отношению к угрозам нарушения защиты, необходимо рассмотреть современную систему обеспечения информационной безопасности в организации, составляющие ее элементы и методы.

Под информационными рисками (далее ИТ-риски) понимается опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Таким образом, ИТ-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств и систем.

ИТ-риски принято разделять на две группы:

  • риски, связанные с утечкой информации и использованием ее сторонними организациями, сотрудниками или третьими лицами в целях, которые могут оказать губительное влияние на работу организации;
  • риски технических сбоев работы каналов передачи информации, которые могут привести к нежелательным последствиям или сбой подачи электроэнергии. Для избежания последнего принято использовать ИБП.

Минимизировать ИТ-риски означает предупредить несанкционированный доступ к данным, а так же минимизировать вероятность наступления аварий и сбоев оборудования и вероятные последствия. Процесс минимизации ИТ-рисков рассматривается комплексно: сначала выявляются возможные проблемы, а затем определяется приоритетные направления их решения.

Основываясь на опыте многих российских компаний в стратегии предупреждения информационных рисков, можно выделить три базовых правила:

  1. в зависимости от степени важности и конфиденциальности информации, содержащейся в документах, доступ сотрудников организации к информационным системам должен быть ограничен;
  2. для успешного функционирования организации, необходимо контролировать доступ к информационным ресурсам и обеспечивать защиту уязвимых мест информационных систем;
  3. информационные системы, оказывающие существенное влияние на деятельность организации и имеющие стратегическое значение, должны функционировать бесперебойно даже в условиях кризисной ситуации.

Для построения комплексной системы защиты информации в организации необходимо воспользоваться универсальными для самых разных предметных областей принципами защиты. К ним относятся:

  1. адекватность (разумная достаточность) - из этого принципа следует, что совокупная стоимость защиты (временные, людские и денежные ресурсы) не должна превышать стоимость защищаемых ресурсов;
  2. прозрачность для легальных пользователей - несмотря на то, что введение механизмов безопасности существенно усложняет деятельность сотрудников организации, тем не менее, никакой механизм не должен требовать невыполнимых действий или затягивать процедуру доступа к информации;
  3. равнозащищенность звеньев - звеньями называются элементы защиты, преодоление любого из которых означает преодоление всей защиты. Исходя из данного принципа, слабость одних звеньев нельзя компенсировать усилением других, поскольку прочность защиты системы или ее уровня определяется прочностью самого слабого звена;
  4. непрерывность - принцип, схожий с предыдущим, но работающий во временном пространстве, заключающийся в том, что действия по защите звеньев цепи должны проводиться в точно установленное время без сбоев и перерывов;
  5. многоуровневость - учет этого принципа поможет избежать лишних расходов при построении системы защиты информации и в то же время добиться действительно высокого уровня информационной безопасности в современной организации;
  6. системность - положение, которое состоит в том, что система защиты должна строиться не абстрактно (защита от всего), а на основе анализа источников угроз и определения оптимального набора средств защиты от этих угроз.

К достаточно типичным источникам угроз могут быть отнесены действия лиц, своевременное выявление которых сможет существенно уменьшить риск утери или искажения информации.

К основным методам защиты информации техническими средствами относятся следующие действия:

  • воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций или технических средств охраны;
  • скрытие или подмена достоверной информации.

Классическим методом защиты людей и материальных ценностей считается физическая охрана помещений организации. Сегодня этот метод также не утратил своей актуальности. Напротив, основываясь на инженерных конструкциях и в сочетании с техническими средствами, данная схема защиты успешно функционирует. Совокупность этих способов образуют так называемую физическую защиту или инженерную защиту и техническую охрану объектов.

Скрытие информации предусматривает такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с тем качеством, которое было бы достаточно для использования ее в целях нанесения значимого ущерба или в интересах конкурирующей организации. Скрытие информации различают на информационное и энергетическое.

Безусловно, приведенные выше методы не исчерпывают все многообразие способов защиты значимой для организации информации. Нельзя также утверждать, что указанные выше способы и приемы способны уберечь информационную систему от всех видов ИТ-рисков и угроз. Но с их помощью можно достичь значительных результатов, особенно если их применение происходит по тщательно отработанной и испытанной программе с привлечением высоко квалифицированных компетентных специалистов после проведения досконального анализа всех элементов организационной системы, включая ключевые бизнес-процессы на предмет их стратегической важности и возможной уязвимости.

Спонсор статьи - TopVirus - каталог антивирусных программ и новостей информационной безопасности. TopVirus предлагает вам скачать пробную версию антивируса Касперского, чтобы оценить все стороны и удобства данного рода программного обеспечения.

: 3.1/5 (296 )

Похожие статьи
1: 
Мебель для сидячей работы
Основная статья - Мебель. Мебель для сидячей работы - тип мебели (по назначению), основным предназначением которого является обеспечение возможности выполнения каких-либо профессиональных рабочих функций ее пользователя с наибольшей функциональностью...
2: 
Носители информации
Любая информация всегда должна где-то и на чем-то храниться, чтобы ее можно было передать от кого-либо кому-то еще, в ином случае информация теряется и практически всегда не может быть восстановлена в первоначальном виде. Основным и главным элементом...
3: 
Программное обеспечение
Программное обеспечение является неотъемлемой частью компьютерной вычислительной системы (ВС). Программное обеспечение (ПО) выполняет основные функции управления всеми аппаратными средствами ВС в процессе обработки информации. ПО разделяют на систем....
4: 
Понятие ценности информации
Возможны различные подходы к определению ценности информации. 1. Денежная стоимость: полная денежная стоимость получения информации (закупки, поиска, формирования собственными силами с учетом сопутствующих затрат); стоимость длительного хранения инфо...
5: 
Сущность и классификация финансовых рисков
Анализируя и обобщая литературу по финансовому менеджменту и антикризисному управлению [1-10] можно дать следующее определение финансового риска. Финансовый риск это вероятность возникновения негативных финансовых последствий от того или иного вида ....
Пользователей онлайн: 52
Все права защищены. При копировании материалов ссылка на Book-Science обязательна. (c) Book-Science, 2010-2016