Комплексный подход для обеспечения информационной безопасности в корпоративной организации
Автор: Шумигин В.К., Лобашев Д.Г., Бембеев Д.А., Ховансков С.А.
Журнал: Теория и практика современной науки @modern-j
Рубрика: Основной раздел
Статья в выпуске: 6-2 (12), 2016 года.
Бесплатный доступ
В данной статье рассмотрены методы обеспечения информационной безопасности сотрудников организации.
Информационная безопасность, защита, ит-угрозы, кибератака
Короткий адрес: https://sciup.org/140269416
IDR: 140269416
Текст научной статьи Комплексный подход для обеспечения информационной безопасности в корпоративной организации
Необходимость обеспечения информационной безопасности в наше время - объективная реальность. Возросшие технические возможности по сбору и обработке персональной информации, развитие средств электронной коммерции и социальных сетей делают необходимым принятие мер по обеспечению защиты данных как персональных, так и корпоративных.
Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь. Сейчас для обеспечения информационной безопасности в различных компаниях организован ИТ-отдел занимающийся вопросами информационной безопасности. Сотрудники, ответственные за безопасность информации, разрабатывают и внедряют методы по предотвращению реализации ИТ-угроз – изменению, уничтожению и хищению информации.
Для этого антивирусные компании и производители межсетевых экранов и систем обнаружения вторжений предлагают продукты, на которых можно построить гибкую многоуровневую защиту информационных систем. Успехи в биометрии и других системах аутентификации позволяют построить удобную и эффективную систему защиты от несанкционированного доступа, включающую единую точку входа и контроль над учетными записями. Вся концепция информационной безопасности строится на разделении прав доступа к ИТ-ресурсам на "санкционированные" и "не санкционированные".
Однако обеспечивая решение проблемы защиты периметра информационной системы снаружи, производители средств информационной безопасности оставили без внимания то, что делает и может сделать пользователь с "санкционированным" доступом.
В настоящее время информационная безопасность превратилась из каких-то никому не ведомых разработок в недрах ИТ-отдела крупной корпоративной организации в проблему касающуюся всех работников. Абсолютно всех. Часто в СМИ появляется информация о тех или иных нарушениях информационной безопасности. Это может быть взломом мобильных телефонов, случаем потери данных, где миллионы записей о клиентах были выложены в свободный доступ, или скандал о том, что одна страна атакует другую в кибер-войне и это все сопровождается шумихой в прессе.
Почему информационная безопасность оказалась на первом месте среди ИТ-проблем и становится для всех самой важной? Для этого есть ряд причин, и не на последнем месте из которых то, что законодательство меняется сейчас по всему миру. Потеря ноутбука превратилась из просто чисто частного случая (Вам нужно заказать новый и ждать его прибытия) в значительное событие в котором уже обязательно участвует юридический отдел, и исход дела может быть помещен на первую полосу СМИ. Понятно, что изменения есть, но к сожалению, они производятся не в лучшую сторону.
Другой причиной является переход от ориентирования на конкретного ИТ-потребителя к облачным вычислениям, что тоже играет свою роль в возрастании значения этой темы. Можно добавить к этому, что поскольку сейчас информация становится все более важным элементом для человека, это приводит к более разрушительным кибер-атакам, - и вывод очевиден. Информация стала жизненно необходимой для компаний, а также для всех тех, кто ею пользуется. Поэтому сейчас главной задачей является обеспечение ее безопасности. Это не простоя проблема, которую стараются решить ИТ.
Какой может быть выход из создавшегося положения? Поскольку проблемой является информационная безопасность, то казалось бы, только специалисты в этой области могут найти решение. Но это не так. Решение заключается в пересмотре систем безопасности и принятии комплексного подхода, то есть в рассмотрении всех аспектов безопасности со всех точек зрения. Для этого необходимо исследовать информационную безопасность как можно большего числа рисков и уязвимостей, а затем разработать и внедрить комплексное решение. И хотя везде уверяют, что уже существуют соответствующие технологии для всех проблем безопасности, в действительности это не так. Решений должно быть больше; люди и средства информационной безопасности должны являться важными составляющими решения, так как одними технологиями задачу не решить.
Тех методов, которыми сейчас осуществляется информационная безопасность, уже не достаточно. Информационная безопасность обеспечивается сейчас в основном методами шифрования или антивирусами, а в корпоративном мире зачастую только за счет брандмауэров и резервного копирования. Поэтому работники корпоративной организации представляют себе технологии безопасности в виде секретных направленных решений специалистов, которые недоступны для их контроля и спрятаны внутри ИТ -отдела. Сегодня такое положение дел совершенно не отвечает существующим потребностям в безопасности – необходимо рассматривать это шире, просто за счет технологий эту проблему не решить. Для этого необходимо привлекать каждого сотрудника корпорации к участию в разработке комплексного решения этой задачи.
Одним из примеров этого является шифрование. В настоящее время на ноутбуках и других мобильных устройствах шифрование используется для защиты, находящейся на них информации. Если такое устройство потеряно, то с юридической точки зрения никаких нарушений, данных не происходит поскольку данные были зашифрованы. Но если пароль к шифру записали на стикер и прилепили к экрану ноутбука, или данные копировались в незашифрованном виде на USB-устройство, лежащее в компьютерной сумке, действительно ли данные записанные на потерянном устройстве находятся в безопасности? Современные технологии решили одну проблему, но в реальности безопасность информации обеспечивают люди и окружающая их среда.
Для решения (или решений) проблемы обеспечения информационной безопасности, необходимо определить кто отвечает за информационную безопасность?
Если раньше считалось, что это IT-руководитель или IT-отдел, то сегодня, с изменением методов управления и законодательства – каждый. Каждый, кто обрабатывает данные, или имеет к ним доступ, начиная от генерального директора и заканчивая самыми низкооплачиваемыми ИТ-пользователями. При этом подразумеваются все данные, а не только информация конкретного клиента. Пока потеря интеллектуальной собственности компании, относящаяся к новому продукту, не попала в заголовки газет по той же причине, что и потеря ноутбука, содержащего информацию о клиентах, необходимо позаботиться о всей информации, хранящейся в организации, особенно если это может повредить репутации организации или ее способности к росту в случае попадания этой информации «не в те руки». Подробная информация о новых продуктах или даже прайс-лист, попавший в руки конкурентов, может оказаться куда более разрушительным для организации, чем утерянный ноутбук со списками клиентов.
Ответ один. Информационное обеспечение безопасности должно начинаться сверху, и не только генеральный директор и совет должны быть участниками обеспечения безопасности информации, но и каждый сотрудник компании– угрозы могут быть разные, но последствия одинаковы. Мы живем в мире где всё взаимосвязано, поэтому сфера информационной безопасности организации должна распространяться далеко за пределы её границ. Поставщики, партнеры, консультанты, подрядчики, а в некоторых случаях и даже клиенты должны быть частью системы по организации защиты информации.
Список литературы Комплексный подход для обеспечения информационной безопасности в корпоративной организации
- Национальный Открытый Университет "ИНТУИТ" http://www.intuit.ru/> дата обращения 01.06.2014
- Guy Bunker. Technology is not enough: Taking a holistic view for information assurance. INFORMATION SECURITY TECHNICAL REPORT №17 (2012) I9 - 25