Организация системы защиты информации экономических систем

Каждую систему защиты следует разрабатывать индивидуально, учитывая следующие особенности:

- организационную структуру организации;

- объем и характер информационных потоков (внутри объекта в целом, внутри отделов, между отделами, внешних);

- количество и характер выполняемых операций: аналитических и повседневных;

- количество и функциональные обязанности персонала;

- количество и характер клиентов;

- график суточной нагрузки.

Защита должна разрабатываться для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

- анализ риска, заканчивающийся разработкой проекта системы защиты и планов защиты, непрерывной работы и восстановления;

- реализация системы защиты на основе результатов анализа риска;

- постоянный контроль за работой системы защиты и АИС в целом (программный, системный и административный).

На каждом этапе реализуются определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

Для обеспечения непрерывной защиты информации в АИС целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализация системы защиты -> Сопровождение системы защиты.

Этап анализа возможных угроз АИС необходим для фиксирования на определенный момент времени состояния АИС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.

На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.

По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные).

Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АИС и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.

Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы.

Результатом этапа планирования является план защиты — документ, содержащий перечень защищаемых компонентов АИС и возможных воздействий на них, цель защиты информации в АИС, правила обработки информации в АИС, обеспечивающие ее защиту от различных воздействий, а также описание разработанной системы защиты информации.

При необходимости, кроме плана защиты на этапе планирования может быть разработан план обеспечения непрерывной работы и восстановления функционирования АИС, предусматривающий деятельность персонала и пользователей системы по восстановлению процесса обработки информации в случае различных стихийных бедствий и других критических ситуаций.

Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.

Этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности.

В том случае, когда состав системы претерпел существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных средств), требуется повторение описанной выше последовательности действий.

Стоит отметить тот немаловажный факт, что обеспечение защиты АИС — это итеративный процесс, завершающийся только с завершением жизненного цикла всей системы.

На последнем этапе анализа риска производится оценка реальных затрат и выигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты приносит очевидный выигрыш, а во втором - лишь дополнительные расходы на обеспечение собственной безопасности.

Сущность этого этапа заключается в анализе различных вариантов построения системы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшему соотношению «эффективность/стоимость»).

Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.

При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:

1. невозможность миновать защитные средства;

2. усиление самого слабого звена;

3. невозможность перехода в небезопасное состояние;

4. минимизация привилегий;

5. разделение обязанностей;

6. эшелонированность обороны;

7. разнообразие защитных средств;

8. простота и управляемость информационной системы;

9. обеспечение всеобщей поддержки мер безопасности.

При этом важно ответить на вопрос: как относиться к вложениям в информационную безопасность – как к затратам или как к инвестициям? Если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат является важной для компании проблемой. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Разница в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.

Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки.

Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.

Вопросы для самоконтроля:

1. Какие имеются угрозы безопасности информации?

2. Чем занимается «компьютерный пират» (хакер)?

3. Назовите угрозы, обусловленные естественными факторами.

4. В чем отличие утечки от разглашения?

5. Назовите основные этапы построения системы защиты.

6. Какие Вы знаете методы обеспечения безопасности?

7. Какие Вы знаете средства обеспечения безопасности?

8. Назовите составные части делопроизводства.

9. Назовите основные нормативно-правовые акты обеспечения информационной безопасности организации.

Тесты для самоконтроля:

1. Хакерная война – это..?

1) атака компьютеров и сетей гражданского информационного пространства;

2) использование информации на влияние на умы союзников и противников;

3) блокирование информации, преследующее цель получить экономическое превосходство.

2. Конфиденциальность компьютерной информации – это..?

1) предотвращение проникновения компьютерных вирусов в память ПЭВМ;

2) свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы;

3) безопасное программное обеспечение.

3. Угрозы доступности данных возникают в том случае, когда..?

1) объект не получает доступа к законно выделенным ему ресурсам;

2) легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность;

3) случаются стихийные бедствия.

4. Внедрение компьютерных вирусов является следующим способом воздействия угроз на информационные объекты?

1) информационным;

2) физическим;

3) программно-математическим способом.

5. Логическая бомба – это..?

1) компьютерный вирус;

2) способ ведения информационной войны;

3) прием, используемый в споре на философскую тему.

6. Криптографические средства – это..?

1) регламентация правил использования, обработки и передачи информации ограниченного доступа;

2) средства защиты с помощью преобразования информации (шифрование);

3) средства, в которых программные и аппаратные части полностью взаимосвязанны.

7. Защита от утечки по побочным каналам электромагнитных излучений реализуется?

1) средствами контроля включения питания и загрузки программного обеспечения;

2) ограждением зданий и территорий;

3) экранированием аппаратуры и помещений, эксплуатацией защищенной аппаратуры, применением маскирующих генераторов шумов и помех, а также проверкой аппаратуры на наличие излучений.

Литература: [1, 3, 4, 5, 6, 9, 10]

СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ

1. Завгородний В.П. Автоматизация бухгалтерского учета, контроля, анализа и аудита. / В.П. Завгородний - К.: А.С.К., 1998. – 768 с.

2. Завгородний В.П. Бухгалтерский учет, контроль и аудит в условиях рынка. / В.П. Завгородний, В.Я. Савченко - К.: Блиц-Информ, 1995. – 832 с.

3. Информационные технологии бухгалтерского учета. / Под ред. О. П. Ильиной. — СПб: Питер, 2001. —688 с.

4. Информационные системы в экономике: учебник для студентов вузов, обучающихся по специальностям «Финансы и кредит», «Бухгалтерский учет, анализ и аудит» и специальностям экономики и управления (060000). / Под ред. Г.А. Титоренко. – 2-е изд., перераб. и доп. – М.: ЮНИТИ-ДАНА, 2008. – 463 с.

5. Коновалова Н.Г. Автоматизированное рабочее место бухгалтера / Н.Г. Коновалова, Е.М. Сухарева - Ростов н/д: Феникс, 2001. – 546 с.

6. Подольский В.И.Информационные системы бухгалтерского учета. / В.И. Подольский, В.В. Дик, А.И. Уринцов – М.: Аудит, ЮНИТИ, 1998. – 319 с.

7. Соколова Е.С. Аудит: учеб. пособие. / Е.С. Соколова - М.: Московский международный институт эконометрики, информатики, финансов и права, 2003 – 97 с.

8. Сопко В.В. Организация бухгалтерского учета, экономического контроля и анализа. / В.В. Сопко, В.П. Завгородний. – К.: КНЭУ, 2000. – 260 с.

9. Хохлов А.Е. Автоматизированные системы бухгалтерского учета / А.Е. Хохлов. – Пенза: Изд-во Пенз. гос. ун-та, 2002. – 108 с.

10. Шквiр В.Д. Iнформацiйнi системи i технологii в облiку / В.Д. Шквiр - Львів: Львівська політехника, 2003. – 345 с.

© Рысина Виктория Александровна

Дата добавления: 2014-01-05; Просмотров: 4075; Нарушение авторских прав?; Мы поможем в написании вашей работы!