Перечислите основные направления обеспечения информационной безопасности бизнеса

Направления защиты информации рассматриваются в качестве нормативно-правовых категорий, которые определяют комплексные мероприятия по защите информации на уровне отдельной личности, на уровне предприятия, а также на уровне государства в целом.

Учитывая сложившуюся практику обеспечения информационной безопасности, можно выделить следующие направления защиты информации:

1. Правовая защита. Она содержит специальные законы, нормативно-правовые акты, мероприятия, процедуры и правила, которые обеспечивают защиту информацию на правовом уровне.
2. Организационная защита. Данное направление защиты информации подразумевает регламентацию производственной деятельности и взаимных отношений исполнителей на нормативно-правовой основе, которая ослабляет или полностью исключает нанесение возможного ущерба исполнителям.
3. Инженерно-техническая защита. Это направление информационной защиты включает использование различных технических средств, которые препятствуют нанесению ущерба деятельности.

Китайский с нуля для начинающих
Увлекаем Китаем, китайским языком и культурой

Рисунок 1. Направления обеспечения защиты информации. Автор24 — интернет-биржа студенческих работ

Те защитные действия и мероприятия, которые ориентированы на обеспечение защиты информации, характеризуются множеством параметров, которые кроме направлений отражают ориентацию на объекты защиты, способы действий, характер угроз, их распространенность, масштабность и охват.

Рисунок 2. Характеристика защитных действий. Автор24 — интернет-биржа студенческих работ

«Направления защиты информации»
Готовые курсовые работы и рефераты
Решение учебных вопросов в 2 клика
Помощь в написании учебной работы

Защитные действия по характеру угроз ориентированы на защиту информации от разглашения, несанкционированного доступа и утечки. По способам действий их можно классифицировать на выявление, обнаружение, предупреждение, пресечение, а также восстановления убытков. Защитные действия по охвату ориентируются на здание, территорию, аппаратуру, конкретное помещение. Масштабность мероприятий по защите информации может быть, как объектовая, групповая, индивидуальная.

Рассмотрим главные направления защиты информации.

Правовое направление защиты информации

Определение 2

Правовая защита информации включает в себя совокупность общеобязательных норм и правил поведения, которые санкционированы или установлены государством по отношению к определенным сферам жизни и деятельности населения, предприятий и государственных органов.

Правовое направление защиты информации как ресурса признано на государственном и международном уровне и определено межгосударственными конвенциями, договорами и декларациями. Реализуется правовая защита авторским правом, патентами, а также лицензиями на защиту информации. Правовая защита на государственном уровне регулируется ведомственными и государственными актами.

Рисунок 3. Правовая защита информации. Автор24 — интернет-биржа студенческих работ

В Российской Федерации такими актами являются законы, Конституция, уголовное, административное и гражданское право, что изложены в соответствующих кодексах. Ведомственные нормативные акты определяются руководствами, приказами, положениями и инструкциями, которые издаются конкретным предприятием и действуют в рамках определенных структур.

Существует такая структура правовых актов, которые ориентированы на правовую защиту информации:

• Первым блоком является конституционное законодательство. Сюда относятся нормы, что касаются защиты информации и информатизации, и входят в него как составные элементы.
• Ко второму блоку относятся общие закона и кодексы, которые включают нормы по вопросам информационной безопасности (о недрах, земле, собственности, гражданстве, правах граждан).
• К третьему блоку можно отнести законы по организации управления, которые касаются отдельных структур экономики, хозяйства и системы государственных органов. Эти законы содержат отдельные нормы по правовой защите информации и должны устанавливать обязанности конкретного органа по актуализации, формированию и безопасности той информации, которая представляет общегосударственный интерес.
• Четвертый блок – это специальные законы, которые полностью относятся к конкретным отраслям, сферам отношений, процессам.
• Пятый блок – это законодательство субъектов РФ, которое касается защиты информации.
• Шестой блок содержит подзаконные нормативно-правовые акты по защите информации.
• К седьмому блоку относятся правоохранительное законодательство РФ, которое содержит нормы ответственности за нарушения в сфере информатизации.

Законодательство в сфере безопасной информационной деятельности представлено комплексом законов. Особое месте в их составе принадлежит Закону «Об информации, ее защите и об информационных технологиях» — он закладывает основы правового определения всех важных компонентов информационной деятельности. К ним можно отнести:

• информацию и информационные системы;
• субъектов, которые являются участниками информационных процессов;
• правоотношения потребителей и производителей информационной продукции;
• владельцев информации.

Замечание 1

Правовые меры обеспечения защиты информации и ее безопасности являются основой порядка деятельности и поведения работников организации, а также определяют меры их ответственности за нарушение установленных норм.

Организационное направление защиты информации

Определение 3

Организационная защита информации – это регламентация деятельности и отношений исполнителей на нормативно-правовой основе, которая существенно затрудняет или полностью исключает неправомерное получение информации, а также проявление внешних и внутренних угроз.

Благодаря организационной защите можно обеспечить:

• организацию режима, охраны, а также работу с кадрами и документацией;
• применение технических средств безопасности, а также информационно-аналитической деятельности по выявлению внешних и внутренних угроз предпринимательства.

Организационные мероприятия играют ключевую роль в формировании надежного механизма защиты информации, поскольку несанкционированное использование сведений обусловлено не техническими аспектами, а злоумышленными действиями, небрежностью и халатностью персонала защиты. При помощи технических средств избежать влияния этих аспектов практически невозможно.

Для этого необходимо применить совокупность организационно-технических и организационно-правовых мероприятий, которые бы исключили возможность возникновения опасности защищаемой информации.

К основным организационным мероприятиям относятся:

• должная организация охраны и режима;
• организация работы с работниками компании, которая предусматривает расстановку и подбор кадров, включая ознакомление с ними, а также обучение правилам работы с конфиденциальной информацией и уведомление о мерах ответственности за нарушение правил по защите информации;
• организация работы с документацией, включая организацию разработки и использование носителей конфиденциальной информации, а также их учет, хранение и уничтожение;
• организация работы по применению технических средств сбора, обработки и хранения конфиденциальной информации;
• организация работы по проведению анализа внешних и внутренних угроз информации, а также разработка мероприятий по обеспечению ее защиты;
• организация надлежащего контроля за работой персонала с конфиденциальной информацией.

Рисунок 4. Организационная защита информации. Автор24 — интернет-биржа студенческих работ

Инженерно-техническое направление защиты информации

Определение 4

Инженерно-техническая защита – это совокупность технических средств, мероприятий и специальных органов, а также их использование с целью защиты информации.

Многообразие задач, целей, проводимых мероприятий и объектов защиты предполагает рассмотрение системы классификации средств по ориентации, виду и другим характеристикам. Например, средства инженерно-технической защиты информации можно изучать по объектам их воздействия. В этом плане они могут использоваться для защиты людей, финансов, материальных средств, а также информации.

Рисунок 5. Классификационная структура инженерно-технической защиты. Автор24 — интернет-биржа студенческих работ

Благодаря многообразию классификационных характеристик, можно рассматривать инженерно-техническое направление защиты информации по характеру мероприятий, объектам воздействия, масштабу охвата, способам реализации, а также классу средств мошенников, которым оказывается противодействие со стороны службы безопасности.

Источник: spravochnick.ru

Перечислите основные направления обеспечения информационной безопасности бизнеса

Содержание:

• Что такое «информационная безопасность предприятия»?
• Как осуществить контроль информационной безопасности?
• Виды угроз информационной безопасности
• Средства защиты информации
• Обеспечение информационной безопасности предприятий
• Этапы внедрения системы безопасности
• Организационные меры
• Режим коммерческой тайны
• Технические меры
• Итог: как выбрать комплекс мер по информационной безопасности в организации?

Что такое «информационная безопасность предприятия»?

Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:

1. Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения.
2. Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери.
3. Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно.

Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует?

• малоквалифицированные студенты,
• спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача.

От того, в чьей руке «меч», зависит обеспечение информационной безопасности предприятия.

То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.

Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.

Как осуществить контроль информационной безопасности?

Есть несколько способов в организации защиты информационной безопасности:

• Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его.
• Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
• Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.

Виды угроз информационной безопасности

Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми.

Среди них можно выделить:

• вредоносное ПО (шифровальщики, вирусы, троянцы);
• SQL-инъекции (фишинг, DoS, перехват данных).

Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов:

• Какими ресурсами располагают злоумышленники?
• Сколько времени они готовы потратить на атаку?

Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям.

К сожалению, пока что эта «игра» напоминает «Тетрис» — в нее невозможно выиграть.

Средства защиты информации

На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры.

• к контролю доступа,
• защите данных и приложений,
• обнаружению и реагированию на инциденты.

Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту.

Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур.

Обеспечение информационной безопасности предприятий

В построении системы информационной безопасности организации средства защиты не занимают ведущую роль.

Можно выбрать самое навороченное решение, но бизнес все равно встанет.

Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны.

Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.

Этапы внедрения системы безопасности

Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством.

Затем анализ продолжается:

• нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия,
• понять, какие ИТ-системы их поддерживают.

Финальный этап — определение возможных инструментов защиты.

К недопустимым последствиям относятся:

1. Утечка данных пользователей;
2. Техногенные катастрофы;
3. Остановка обеспечения услуг компании.

Организационные меры

Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами.

Скажем, инструкция по работе с интернетом и жесткое требование:

• не кликать по ссылкам в почте и мессенджерах;
• менять пароль каждые полгода;
• не использовать один и тот же пароль для разных сервисов.

Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.

Режим коммерческой тайны

Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные.

В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют.

В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.

Технические меры

ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву.

На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему.

Итог: как выбрать комплекс мер по информационной безопасности в организации?

Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов.

Компания должна понимать:

• Какие ИБ-события она не может допустить;
• Удар по каким бизнес-процессам станет критическим;
• Какие ИТ-системы поддерживают эти процессы.

Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов.

При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.

Фото на обложке сгенерировано с помощью нейросети Midjourney

• Бизнес
• Кибербезопасность
• Как защититься от мошенников
• Лайфхаки

Источник: rb.ru

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».

Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.

Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.

На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

• идентифицировать информационные активы, представляющие ценность;
• провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
• провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
• провести анализ источников угроз;
• проанализировать сами угрозы;
• оценить возможный ущерб;
• подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Безопасность

Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: АИСТ ГБД, ЕГИСМ и др.

Источник: kontur.ru