Наличие единой информационной структуры в компании делает возможным нанесение ущерба с помощью атаки на информационную систему (ИС). Владение инструментами обеспечения безопасности ИС и их учет на стадии проектирования информационной системы дает некоторое стартовое преимущество перед компаниями, осознавшими необходимость комплексного подхода к защите информации только после того, как оказались перед фактами несанкционированных вторжений.
Финансовый урон от потери или утечки внутрикорпоративной информации может быть соизмерим с доходной частью бюджета компании.
Существуют четыре действия, производимые с информацией, которые могут содержать в себе угрозу:
- сбор,
- модификация,
- утечка,
- уничтожение.
Все источники угроз разделяются на внешние и внутренние.
Внутренние угрозы могут проявляться в следующих формах:
- ошибки пользователей и системных администраторов;
- нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации;
- ошибки в работе программного обеспечения;
- отказы и сбои в работе компьютерного оборудования.
Формами проявления внешних угроз являются:
- заражение компьютеров вирусами или вредоносными программами;
- несанкционированный доступ (НСД) к корпоративной информации;
- информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб;
- действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации;
- аварии, пожары, техногенные катастрофы.
В целях обеспечения информационной безопасности мы предлагаем комплекс последовательных мероприятий:
Выявление потребностей в обеспечении информационной безопасности (ИБ);
Обследование существующей инфраструктуры:
- оргструктура,
- схема ЛВС,
- размещение средств ВТ,
- носители информации,
- способы обработки и хранения данных,
- используемые виды связей,
- инвентаризация информационных ресурсов.
Выработка требований к ИБ:
Определение минимальных требований на основе потребностей в ИБ;
Определение повышенных требований к:
- ценность ресурсов,
- перечень сведений, составляющих коммерческую тайну,
- стратегия управления рисками,
- обеспечение доступности, целостности, конфиденциальности.
Разработка концепции ИБ
- цели и приоритеты,
- общие направления,
- должностные лица, ответственные за ИБ,
- основные аспекты, решаемые при разработке ИБ.
Анализ рисков
- изучение и систематизация угроз ИБ,
- оценка ущерба,
- оценка затрат на восстановление,
- защитные меры.
Разработка политики ИБ и выбор решений по обеспечении политики ИБ
Определение уровней обеспечения режима ИБ:
- административный (ответственные лица);
- организационный (комплекс мер, организация, политика);
- технический (программно-технические средства).
Выбор средств контроля и управления
Разработка планов реализации политики ИБ
Реализация политики ИБ:
- Разработка пакета регламентирующих документов по ИБ;
- Внедрение уровней обеспечения ИБ.
Результаты создания системы информационной безопасности
- защита корпоративной ЛВС от несанкционированного доступа изнутри и извне (из общедоступных сетей, Интернета и т.д.);
- антивирусная защита;
- защищенный доступ пользователей ЛВС в общедоступные сети и Интернет;
- обнаружение атак;
- защита информационных потоков между ЛВС, рабочими станциями и серверами, а также в сетях Internet/Intranet;
- идентификация и аутентификация пользователей ИС;
- обеспечение доступности сетевых сервисов и серверов;
- криптографическая защита информации;
- защита рабочих станций и серверов от несанкционированного доступа;
- защита общесистемного и прикладного ПО, файловых и почтовых серверов;
- резервное копирование.