Введение

Данные, хранящиеся в информационной базе любой организации следует защищать как за счёт технических средств, так и за счёт организационных мер. Очень важно выявлять внешние и внутренние угрозы безопасности, пресекая попытки несанкционированного доступа.

Защиты в первую очередь требуют следующие данные:

финансовые документы;
результаты экспериментов и исследований, разработки новых технологий;
пароли и ключи доступа к данным;
персональная информация о пользователях;
сведения о клиентах и поставщиках.

Для защиты данных в организациях создаются службы информационной безопасности, которые ищут уязвимости в системе, а также разрабатывают и осуществляют организационно-технические и программно-аппаратные меры по обеспечению защиты данных.
1. Служба информационной безопасности.png

1. Служба информационной безопасности.png

Требования к защите информации

Информационная защита должна отвечать требованиям государственного законодательства и общей политики безопасности и быть:

Комплексной. Учитывать любые виды возможных нарушений безопасности данных;
Многоступенчатой. Информация подразделяется по степени важности, а ее защита усложняется по мере возрастания ценности сведений;
Надежной. Необходимо применение методов защиты, соразмерных с серьезностью угроз;
Стабильной. Средства защиты должны работать в постоянном режиме при любых внештатных ситуациях;
Разумной. Предпринимаемые меры не должны отражаться на скорости обработки данных, а также использование программных средств не должно приводить к искажению и утрате сведений, разглашению служебных тайн и персональных данных.

Меры по защите информации

К организационным мерам относятся:

Создание инструкций по использованию компьютерной техники, обработке и хранению информации;
Знакомство персонала с правовыми и этическими нормами, касающимися информационной сферы;
Составление трудовых договоров, в которых говорится об ответственности за нарушение правил работы с данными;
Разработка правил использования и хранения бумажной и электронной документации;
Разграничение доступа пользователей к информации и наблюдение за их действиями в сети.

Технические меры:

Монтирование системы резервного электропитания, а также принятие мер пожаробезопасности и защиты от стихийных бедствий;
Монтирование устройства сигнализации, видеонаблюдения, предотвращения доступа посторонних на территорию предприятия;
Приобретение программно-технических устройства для резервного копирования;
Своевременного уничтожения данных в случае необходимости.

Меры программно-аппаратной защиты:

Приобретение, установка и обновление программного обеспечения для безопасного сбора, хранения и обработки информации;
Разработка методов обнаружения и предотвращения компьютерных угроз;
Установка программ идентификации и аутентификации сотрудников;
Контроль активности использования приложений;
Шифрование данных, передаваемых по информационным каналам.

Угрозы информационной безопасности

Несанкционированное распространение данных может быть вызвано некомпетентность сотрудников в вопросах обеспечения информационной безопасности или пренебрежением сотрудниками правил работы на служебных компьютерах. В случаи посещения нежелательных сайтов, запуска неразрешённых приложений или использовании служебной почты в личных целях может возникнуть риск распространения информации, открытия фишинговых ссылок или заражения вирусом рабочего компьютера.

Использование нелицензионного программного обеспечения опасно из-за отсутствует возможность обновления ПО, невозможности проверки подлинности приложений и отсутствия технической поддержки со стороны разработчиков. Всё это может привести к угрозе информационной безопасности.

Затраты на информационную безопасность

Руководству в первую очередь интересно какую сумму необходимо будет затратить для внедрение тех или иных решений по защите информации и их дальнейшего обслуживания, а также сколько времени это займёт. Однако специалисту зачастую бывает сложно сразу же назвать конкретную сумму и временной период.

Одну и ту же проблему можно решить разными способами. И задача специалиста по информационной безопасности решить какие способы будут наиболее оптимальны для решения конкретных задач с учётом денежных и временных затрат.
4. Денежные и временные затраты.jpg

Информационная безопасность в коммерческих организациях и государственных учреждениях

В коммерческих организациях специалист по информационной безопасности должен получить максимальную эффективность при минимальных затратах. Однако масштабы выбора средств и методов защиты они вольны определять сами.

В государственных учреждениях специалист по информационной безопасности ограничен бюджетом, выделяемым вышестоящими уровнями и нормативными требованиями, обязывающими применять только сертифицированные технические и программные средства. Начиная от VPN- шлюзов для ведомственной сети и заканчивая специальными нормами по защите персональных данных, вся инфраструктура выстраивается под выполнения этих требований. Однако, специалист по информационной безопасности, проведя анализ, может определить набор оптимальных методов и средств для защиты информации даже с учётом этих ограничений.

Итог

Неважно, коммерческая компания или государственное учреждение, бюджет, выделенный на информационную безопасность, в любом случаи будет складываться из затрат на специалистов по безопасности и привлекаемые ими ресурсы. При грамотном финансовом планировании и оценки эффективности внедряемых средств, можно выбрать наиболее оптимальное решение и существенно сэкономить на финансовых затратах в информационной безопасности.
6. Итог.jpeg