Андрей Обласов - Исследование процесса комплексного обеспечения информационной безопасности

– Пожары;

– Землетрясения;

– Наводнения;

– Ураганы;

– Непредвиденные обстоятельства различного характера.

Эти природные и необъяснимые явления также влияют на информационную безопасность, опасны для всех элементов корпоративной сети и могут привести к следующим последствиям:

– уничтожению (разрушению):

– технических средств обработки информации;

– носителей информации;

– программного обеспечения (ОС, СУБД, прикладного программного обеспечения);

– информации (файлов, данных);

– помещений;

– персонала.

– исчезновению (пропаже):

– информации в средствах обработки;

– информации при передаче по телекоммуникационным каналам;

– носителей информации;

– персонала.

Анализ данного перечня источников угроз показывает, что обеспечение комплексной информационной безопасности требует принятия не только технических, но и организационных решений. При рассмотрении вопроса организации безопасности на предприятии следует пользоваться системным подходом, то есть учитывать все многообразие факторов и связей сложного объекта защиты.

С другой стороны, известно, что стоимость информации складывается из вероятного ущерба, который будет понесен при попадании информации к злоумышленнику, и стоимости мероприятий по защите, проводимых для обеспечения безопасности. Таким образом, цена защищаемой информации не должна превышать траты на её защиту.

Исходя из этого, при выборе подхода разработки мер по защите информации, следует начать с наиболее значимых угроз, переходя к менее угрожающим. Данный метод позволяет при малых объемах ресурсов предотвратить наиболее опасные угрозы.

В современной литературе приводятся разные шкалы оценок значимости угроз информации, ввиду скрытого характера их проявления и отсутствия точных статистических исследований.

Вместе с тем на основе анализа, проводимого различными специалистами в области компьютерных преступлений, можно расставить угрозы безопасности по частоте проявления следующим образом:

– кража (копирование) программного обеспечения;

– подмена (несанкционированный ввод) информации;

– уничтожение (разрушение) данных на носителях информации;

– нарушение нормальной работы (прерывание) в результате вирусных атак;

– модификация (изменение) данных на носителях информации;

– перехват (несанкционированный съем) информации;

– кража (несанкционированное копирование) ресурсов;

– нарушение нормальной работы (перегрузка) каналов связи;

– непредсказуемые потери.

На самом деле для реальных объектов защиты следует считать, что каждая угроза может себя проявить в какой-либо момент времени, поэтому все из них являются равнозначными.

Актуальность угрозы для конкретного объекта защиты можно оценить, наложив угрозу безопасности на модель защищаемой сети, с целью дальнейшей оценки опасности, таким образом, выявив самые значимые в данном случае.

Политикой информационной безопасности называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.

За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать.

Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799—2005 «Информационная технология. Практические правила управления информационной безопасностью», политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия включала: