CC BY
21
УДК 004
Подсобляева О.В., к.э.н.
доцент Богданова В. С. старший преподаватель кафедра программного обеспечения Орский гуманитарно-технологический институт (филиал)
ФГБОУ ВО ОГУ Россия, Оренбургская область, г. Орск ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРЕДПРИЯТИЙ ПРОМЫШЛЕННОСТИ Аннотация: В статье рассматриваются подходы к определению сущности информационной безопасности, проблемы ее обеспечения на предприятиях в современных условиях. Выделяются задачи и уровни обеспечения информационной безопасности промышленных предприятий. Подробно исследуются основные характеристики информации, обеспечивающие информационную безопасность.
Ключевые слова: информационная безопасность, защита информации, информационные угрозы, информационная система, конфиденциальная информация.
Russia, Orenburg region, Orsk Orsk humanitarian and technological Institute (branch) of OSU
Department of software Podsoblyaeva O. V. kand. ekon. sciences, associate Professor
Bogdanova V. S. senior lecturer THE INFORMATION SECURITY INDUSTRY Abstract: the article considers approaches to the definition of the essence of information security, the problems of its provision in enterprises in modern conditions. The tasks and levels of information security of industrial enterprises are highlighted. The main characteristics of information ensuring information security are studied in detail.
Keywords: information security, information security, information threats, information system, confidential information.
Развитие информационных систем и технологий способствует изменению в области обмена различных видов информации между субъектами, что позволяет оперативно решать многие задачи информационного общества.
Повсеместное проникновение информационно -коммуникационных технологий в самые различные сферы деловой деятельности привело к тому, что компьютерная информация может иметь вполне определенную стоимость. Поэтому одна из важнейших проблем развития информационно -коммуникационных технологий на предприятии и организации - надежное
обеспечение информационной безопасности [3].
Информационная безопасность - это состояние защищенности любой информации, не только обрабатываемой в информационно компьютерных системах [1].
Цель управления информационной безопасностью - обеспечение безопасности информации, сохранение конфиденциальности, целостности и доступности информации и единства информационного пространства промышленного предприятия. В задачи управления входят построение моделей нарушителей и угроз безопасности информационных ресурсов организации. В рамках управления формируются требования к подсистемам обеспечения защиты информации, используемым в организации (на предприятии), осуществляется контроль их выполнения, разрабатываются планы долгосрочного и среднесрочного развития программы информационной безопасности, реализуется ряд других важных мероприятий, направленных на достижение требуемого уровня информационной безопасности. К объектам защиты информации обычно относят: объекты информационной инфраструктуры, включающие программно-технические комплексы обработки и хранения информации; объекты автоматизированных систем управления и информационных систем (ИС), включающие: отдельные автоматизированные рабочие места и локальные вычислительные сети, серверные сегменты, программно -технические комплексы поддержания; системы документооборота.
Система безопасности промышленного предприятия может быть построена на основе следующих принципов:
1) Приоритет мер предупреждения. Содержание этого принципа предполагает своевременное выявление тенденций и предпосылок, способствующих развитию угроз, на основе анализа которых вырабатываются соответствующие профилактические меры по недопущению возникновения реальных угроз.
2) Законность. Меры безопасности предприятия разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.
3) Комплексное использование сил и средств. Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен в рамках своей компетенции участвовать в обеспечении безопасности предприятия. Организационной формой комплексного использования сил и средств является программа обеспечения безопасности предприятия.
4) Координация и взаимодействие внутри и вне предприятия. Меры противодействия угрозам осуществляются на основе взаимодействия и скоординированности усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия.
5) Сочетание гласности с конспирацией. Доведение до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль — предотвращение потенциальных и реальных угроз. Такая гласность, однако, должна непременно дополняться в оправданных случаях мерами конспиративного характера.
6) Компетентность. Сотрудники и группы сотрудников должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.
7) Экономическая целесообразность. Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения.
8) Плановая основа деятельности. Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия, подпрограмм обеспечения безопасности по основным его видам (экономическая, научно-техническая, экологическая, технологическая и т.д.)и разрабатываемых для их исполнения планов работы подразделений предприятия и отдельных сотрудников.
9) Системность. Этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников подразделений, использование в этой деятельности всех сил и средств.
Задачи информационной безопасности предприятия состоят в том, чтобы обеспечить основные характеристики информации, а именно: доступность, целостность и конфиденциальность. То есть информационные системы и базы данных должны представлять своевременный беспрепятственный доступ к информационным ресурсам, обладающих соответствующими правами; защиту от сбоев, ведущих к потере информации, защиту от несанкционированных изменений или уничтожения данных; ограниченный доступ к информации, предназначенной только для авторизованного пользователя; общую полноту и точность воспринимаемой информации [2].
Если синхронизировать программу информационной безопасности с жизненным циклом информационной системы промышленного предприятия, то можно добиться большего эффекта с меньшими затратами.
В жизненном цикле информационной системы предприятия можно выделить следующие этапы:
1) Инициация. На данном этапе выявляется необходимость в приобретении информационной системы или базы данных, документируется предполагаемое назначение.
С точки зрения информационной безопасности, важнейшим действием здесь является оценка критичности как самой информационной системы или базы данных, так и информации, которая с их помощью будет обрабатываться.
2) Закупка. На данном этапе составляются спецификации, прорабатываются варианты приобретения, выполняется собственно закупка. Необходимо окончательно сформулировать требования к защитным средствам информационной системы или базы данных, к фирме, которая может претендовать на роль поставщика, и к квалификации, которой должен обладать персонал, использующий или обслуживающий закупаемый продукт. Все эти сведения оформляются в виде спецификации, куда входят не только аппаратура и программы, но и документация, обслуживание, обучение персонала. Разумеется, особое внимание должно уделяться вопросам совместимости новой информационной системы или базы данных с существующей конфигурацией.
3) Установка. Информационная система или база данных устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.
Во - первых, новую информационную систему и базу данных следует сконфигурировать. Как правило, коммерческие продукты поставляются с отключенными средствами безопасности; их необходимо включить и должным образом настроить. Для большого предприятия, где много пользователей и данных, начальная настройка может стать весьма трудоемким и ответственным делом.
Во-вторых, внедряемый программный продукт нуждается в процедурных регуляторах. Следует позаботиться о чистоте и охране помещения, о документах, регламентирующих использование сервиса, о подготовке планов на случай экстренных ситуаций, об организации обучения пользователей и т. п.
После принятия перечисленных мер необходимо провести тестирование. Его полнота и комплексность могут служить гарантией безопасности эксплуатации в штатном режиме.
4) Эксплуатация. На данном этапе информационная система не только работает и администрируется, но и подвергается модификации. Период эксплуатации самый длительный и сложный. С психологической точки зрения, наибольшую опасность в это время представляют незначительные изменения в конфигурации информационной системы, в поведении пользователей и администраторов. Если безопасность не поддерживать, она ослабевает.
5) Выведение из эксплуатации. Происходит переход на новый сервис.
При выведении из эксплуатации затрагиваются аппаратно -
программные компоненты информационной системы и обрабатываемые ей данные. Аппаратура продается, утилизируется или выбрасывается. Только в специфических случаях необходимо заботиться о физическом разрушении аппаратных компонентов, хранящих конфиденциальную информацию. Программы, вероятно, просто стираются, если иное не предусмотрено лицензионным соглашением.
При выведении данных из эксплуатации их обычно переносят на другую систему, архивируют, выбрасывают или уничтожают. Если
архивирование производится с намерением впоследствии прочитать данные в другом месте, следует позаботиться об аппаратно-программной совместимости средств чтения и записи. Информационные технологии развиваются очень быстро, и через несколько лет устройств, способных прочитать старый носитель, может просто не оказаться. Если данные архивируются в зашифрованном виде, необходимо сохранить ключ и средства расшифровки. При архивировании и хранении архивной информации нельзя забывать о поддержании конфиденциальности данных.
Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации, под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в информационной системе промышленного предприятия или базы данных.
Использованные источники:
1. Галатенко, В. А. Основы информационной безопасности / В. А. Галатенко. - М. : Интернет-университет информационных технологий - www.INTUIT.ru, 2014. - 208 с.
2. Кульба, В.В. Информационное обеспечение систем организационного управления (теоретические основы): в 3- х частях. - Часть 2. Методы анализа и проектирования информационных систем / В.В. Кульба, Е.А. Микрин. -М.: Экономика, 2011. - 496 с.
3. Малюк А. А. Информационная безопасность : концептуальные и методологические основы защиты информации : уч. пособие для вузов / А. А. Малюк. - М. : Горячая линия - Телеком, 2014. - 280 с.
