CC BY
18СОВРЕМЕННЫЕ ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
НА ПРЕДПРИЯТИЯХ
Карабекян Светлана Хамдамовна svetlana_2005_74@mail.ru Винокурова Александра alexandria08081999@mail.ru Навоийский государственный горный институт
Аннотация: Для пользователей интернет ресурсами на сегодняшний день предлагается много удобств от ^ компаний, такие как быстрота загрузки информаций, инкогнитость, защита ключей и разные плагины для выполнения разных задач в онлайн режиме, но есть обратная сторона медали, такая как степень защищенности передаваемой и принимаемый информации между клиентами, а также серверами - это и будет главным вопросом в нашем тезисе.
Ключевые слова: Информация, конфиденциальность, целостность, доступность, защита интеллектуальной собственности, приоритет, защита коммерческой тайны, цифровой ключ, криптография.
В современном мире вся информация, начиная от простых пользователей электронными устройствами до государственных предприятий, передаётся в цифровом виде. Таким образом, возникает вопрос о безопасности передаваемой информации от отправителя к получателю. Степень защищенности информации зависит от нескольких факторов:
1) Закрытая сеть;
2) Зашифрованный файл;
3) Обеспеченная многоуровневая защищенная сеть [1].
Для обеспечения безопасности передачи информации создаются системы многоуровневой аутентификации, межсетевые экраны и т.д. Компании по обеспечению безопасности предлагают антивирусные программы, в которых также существует опции антивор, антишпион и другие, где тщательно анализируются входящие пакеты данных. Но, необходимо учитывать тот фактор, что эта отрасль интеллектуальных технологий не стоит на месте, она развивается очень динамично, что в свою очередь допускает обеспечение программных компонентов своевременными обновлениями, где будут переналажены уязвимые элементы.
В настоящее время на рынке информационной безопасности для защиты внутренней информации в зависимости от координации предприятий существует множество вариаций программного обеспечения.
Предлагается 4 эффективных способа защиты информации на крупных предприятиях.
1. Правильная расстановка приоритетов организации
Первый этап для обеспечения информационной безопасности в предприятиях начинается с расстановки активов фирмы, которые являются жизненно важными для организации. Для банка это будет АБС (автоматизированная банковская система), для интернет-магазина - сайт и база данных. При ограниченности средств на обеспечение информационной безопасности, важнейшим этапом при выстраивании защиты информации предприятия является постановка акцентов на обеспечение жизненно важных элементов. Правильно расставленные приоритеты - важнейший момент [2].
Расстановка приоритетов осуществляется исходя из выявленных проблем, связанных со сферой деятельности предприятий - определение критичности по трем критериям информационной безопасности - конфиденциальности, целостности и доступности. Если задуматься, то для разных активов и приоритеты будут разные. Так, например, для сайта компании в первую очередь важна целостность и доступность, для клиентской базы -конфиденциальность, для биллинга - целостность и т.д. Соответственно выбираются и решения. Подходить ко всем проблемам одинаково - неверно, так как или не будет обеспечен нужный уровень защиты, или всё это будет стоить неоправданно дорого.
2. Контроль безопасности должен быть нацелен на уязвимость системы
Несколько выкладок исходя из статистики:
• 75% атак используют уже известные уязвимости, которые могли быть закрыты в результате внедрения системы управления уязвимостями.
• Более чем 90% атак основывается на самых простых электрических устройствах.
• 85% кибер-атак можно остановить посредством внедрения процесса поиска, оповещения и устранения самых важных проблем в определенный промежуток времени.
Большим подспорьем в выстраивании защиты является известный сборник 20 критических мер по информационной безопасности от SANS Institute.
Другими словами, даже такой авторитетный источник как SANS Institute ставит процесс поиска и устранения уязвимостей во главу угла. А чтобы процесс работал - он должен быть максимально автоматизирован. Тут «препаратом выбора» является система управления уязвимостями, например QualysGuard. При этом QualysGuard может выступать и в качестве собственно средства поиска уязвимостей, и в качестве средства комплаенс-контроля, обеспечивая контроль установленного программного обеспечения, и в качестве
средства контроля безопасности конфигурации программного обеспечения и оборудования.
3. Фокусирование процессов, а не отчётов
Много известно случаев, что работа целого коллектива может быть сорвана из-за отсутствия незаменимого специалиста, который хоть и не имеет статус руководителя, но именно на его знаниях и опыте всё держится. Качественная работа кадровой службы должна обеспечить своевременную подготовку кадров, взаимозаменяемость и т.д. В вопросе информационной безопасности тоже нужно стараться так построить рабочий процесс, чтобы на выходе получать предсказуемый результат - приемлемые риски и по возможности отсутствие значительных инцидентов. Построение процессов -это целая наука, и тут важно иметь хотя бы базовые представления о процессном подходе и системе управления качеством, например, на базе стандарта ISO 9000.
4. Нужно уметь принимать риски
К сожалению, несмотря на все усилия, всегда остается риск, что что-то может быть упущено, забыто. Всегда важно понимать, что на реализацию всех возможных мер по безопасности не хватит никаких бюджетов, соответственно с некоторыми рисками нужно будет смириться.
Широкое применение компьютерных технологий и постоянное увеличение объема информационных потоков вызывает постоянный рост интереса к способам защиты информации. Многое можно достичь в этой сфере, если следовать вышеизложенным рекомендациям.
Использованная литература
1. Узбекистон Республикасининг «Ахборотлаштириш туFрисида»ги конуни. Ахборот ва ахборотлаштиришга оид норматив-хукукий хужжатлар туплами. Т.: «Адолат», 2008. - 50 б.
2. Расулов А. Глобал жараёнлар ва маънавият // Ж. Узбекистан матбуоти. -Тошкент, 2008. - № 5-6. - Б. 8-9.
