В статье рассмотрены механизмы управления информационной безопасностью на предприятии, влияние информационных технологий (ИТ) на информационную безопасность.
Ключевые слова: информационная безопасность, информационные технологии.
В настоящее время проблемами обеспечения информационной безопасности озадачены практически все: силовые структуры, органы власти, коммерческие и государственные предприятия. Уже давно известно, что «Кто владеет информацией — тот владеет миром». В нынешних реалиях предприятиям и организациям необходимо более тщательно заниматься задачей обеспечения безопасности как материальных ценностей, так и информации, в том числе сведений, составляющих коммерческую или государственную тайну, т. к. гарантия получения прибыли все в больше и больше зависит от сохранения в тайне секретов производства. Успех производственной и предпринимательской деятельности в немалой степени зависит от умения распоряжаться таким ценнейшим товаром, как информация, но выгодно использовать можно лишь ту информацию, которая требуется рынку, но неизвестна ему. Вопрос поддержания безопасности информационных систем одинаково остро стоит и перед обычными пользователями, и перед предприятиями. Потеря данных для компаний влечет за собой, прежде всего, потерю доверия и репутации. Для человека же в лучшем случае утечка выливается в навязчивый показ таргетированной рекламы, в худшем — конфиденциальная информация (пароли, данные банковских карт, сведения для входа в системы) может быть использована мошенниками в корыстных целях.
Управление информационной безопасностью (Information Security Management или ISM) — необходимый процесс обеспечивающий, целостность, доступность и конфиденциальность активов, информации, данных и услуг организации. С практической точки зрения понятие информационной безопасности меняется по мере изменений в мире, некоторые направления защиты информации уходят в прошлое, возникают новые. Отдельной задачей становится противодействие прямым информационным вмешательствам в деятельность страны или бизнеса, осуществляемое на стыке PR и GR. Для обеспечения защиты важной информации организации применяют разные меры обеспечения ИБ, несмотря на это даже использование самых новый и дорогостоящих средств не может гарантировать их эффективности и может привести к необоснованным тратам на обеспечение ИБ. Наличие большого количества мер и средств обеспечения ИБ делает процесс управления сложным. Как правило механизмы, которые позволяют анализировать, отслеживать работу системы обеспечения ИБ и вносить необходимые изменения в ее работу, недостаточно отточены.
Отсутствие четко выстроенных процессов управления и обеспечения ИБ приводит к повышению операционных затрат. Из-за отсутствия организационного подхода все возникающие вопросы решаются в отдельном порядке, который меняется от случая к случаю.
Современные информационные технологии и системы являются средством повышения показателей производительности и эффективности работы сотрудников. С каждым днем предприятия все чаще погружаются в информационную среду, отчетность и вся информация хранится в электронном виде, применяются локальные и глобальные сети, и все это создает и увеличивает угрозы конфиденциальной информации. Компании, которые поставили перед собой цель обезопасить себя в киберпространстве, на сегодняшний день сталкиваются с большим дефицитом кадров. Не хватает специалистов, которые имеют опыт в сфере обеспечения информационной безопасности.
На сегодняшний день существуют известные методы обеспечения информационной безопасности, которые состоят из организационно-технических, экономических и правовых.
Организационно-технические методы информационной безопасности (ИБ) включают:
– систему обеспечения информационной безопасности (под ней мы подразумеваем комплекс мероприятий (внутренние правила работы с данными, регламент передачи сведений, доступ к ним и т. д.) и технических средств (использование программ и приборов для сохранения конфиденциальности данных));
– разработку (создание новых), эксплуатацию и усовершенствование уже имеющихся средств защиты информации;
– перманентный контроль над действенностью принимаемых мер в области обеспечения информационной безопасности.
Последний пункт является ключевым. Без методики оценки очень непросто определить эффективность обеспечения информационной безопасности. Если эффективность снижается, то необходимо в срочном порядке вносить изменения.
Информационная безопасность — это всегда комплексная система, все компоненты которой направлены на полное исключение утечки конфиденциальной информации по техническим каналам, а также противостоять внешнему доступу к носителям информации. Все это, непременно, гарантирует целостность информации при работе с ней: обработке, передаче и хранении, которые должны осуществляться обязательно в правовом поле. Правильное организованные и рассчитанные технические мероприятия позволяют определить использование специальных электронных приспособлений несанкционированного снятия информации, размещенных как в помещении, так и в средствах связи.
В Российской Федерации существует несколько нормативных правовых документов, регламентирующих работу в информационной сфере: «Об утверждении Доктрины информационной безопасности РФ», «Об информации, информационных технологиях и о защите информации» и т. д. Одним из фундаментальных является Федеральный закон РФ «О коммерческой тайне».
К этому перечню стоит добавить Постановления Правительства РФ «О сертификации средств защиты информации», «О лицензировании деятельности по технической защите конфиденциальной информации», а также Приказ ФСБ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».
Немаловажным является экономическая составляющая информационной безопасности, основное правило — стоимость системы информационной безопасности не должна быть больше, чем стоимость защищаемой информации. Также необходимо на раннем этапе определиться какую информацию необходимо защищать, чтобы ничего лишнего не захватить, т. к. это будет нецелесообразно с экономической точки зрения.
Литература:
- Информационная безопасность http://voznes-school.narod.ru/Inform_bezopasnost.html
- Методы обеспечения информационной безопасности https://searchinform.ru/analitika-v-oblasti-ib/Issledovaniya-v-oblasti-ib/metody-obespecheniya-informatsionnoj-bezopasnosti/
- Составляющие информационные безопасности https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/napravleniya-informatsionnoj-bezopasnosti/
- Прогноз развития киберугроз и средств защиты информации 2020
- https://www.anti-malware.ru/analytics/Threats_Analysis/cyber-threats-and-security-tools-evolving-2020-forecast
