Порядок организации защиты информации на предприятии.

 Введение   4

1. Теоретические основы защиты информации на предприятии   5

1.1 Сущность и задачи защиты информации на предприятии   5

1.2 Меры и методы защиты информации  9

1.3 Основные направления защиты документированной информации   17

Выводы по главе:   19

2. Построение эффективной системы защиты информационной безопасности  21

2.1 Обеспечение информационной безопасности  21

2.2 Построение системы информационной безопасности   23

2.3 Внедрение системы безопасности информации на предприятии   26

Выводы по главе:   27

Заключение   29

Список использованной литературы   31

Введение

Многие понимают, насколько важна любая информация, связанная с бизнесом.Используя собранную и обработанную информацию, вы сможете успешно конкурировать на своем рынке и захватывать новые.Информация помогает в поиске партнеров и способствует четкому определению позиции по отношению к ним.Защита информации – это комплекс мер, направленных на обеспечение информационной безопасности.Под информационной безопасностью понимается защита информации и обеспечивающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и обеспечивающей инфраструктуры.Вопросы безопасности являются важной частью концепции внедрения новых информационных технологий во все сферы жизни общества.Цель курсовой работы рассмотреть основы защиты информации на предприятии.Задачи курсовой работы:- рассмотреть понятие и сущность защиты информации на предприятии;- рассмотреть методы защиты информации;- изучить особенности построения эффективной системы информационной безопасности.В процессе написания работы были использованы учебные пособия по информационным технологиям, интернет ресурсы.1. Теоретические основы защиты информации на предприятии1.1 Сущность и задачи защиты информации на предприятииИнформационная безопасность является одним из необходимых аспектов ведения бизнеса в условиях агрессивной рыночной экономики.В современном деловом мире происходит процесс миграции материальных активов в сторону информации. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся конкурентных условиях на рынке.Рассматривая информацию как товар, можно сказать, что информационная безопасность в целом может привести к значительной экономии средств, а причиняемый ей ущерб приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, а в результате нарушений информационной безопасности владелец технологии, а может и автор, потеряет часть рынка и др. С другой стороны, информация является предметом управления, и ее изменение может привести к катастрофическим последствиям в объекте управления.Информационная безопасность, как и защита информации, представляет собой комплексную задачу, направленную на обеспечение безопасности, реализуемую путем внедрения системы безопасности. Проблема информационной безопасности многогранна и сложна и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы жизни общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.На сегодняшний день сформулированы три основных принципа, которые должны обеспечивать информационную безопасность:• целостность данных – защита от сбоев, приводящих к потере информации, а также защита от несанкционированного создания или уничтожения данных;• конфиденциальность информации;• доступность информации для всех авторизованных пользователей.Широкое использование компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации, циркулирующей в компьютерных системах, от несанкционированного доступа.Защита информации в компьютерных системах имеет ряд особенностей, связанных с тем, что информация не связана жестко с носителем, может быть легко и быстро скопирована и передана по каналам связи. Существует очень большое количество угроз информации, которые могут быть реализованы как внешними нарушителями, так и внутренними нарушителями.В области информационной безопасности и компьютерной безопасности в целом наиболее актуальными являются три группы проблем:1. нарушение конфиденциальности информации;2. нарушение целостности информации;3. неисправность информационно-вычислительных систем.Защита информации превращается в важнейшую проблему государственной безопасности, когда речь идет о государственной, дипломатической, военной, промышленной, медицинской, финансовой и другой конфиденциальной, секретной информации. Огромные объемы такой информации хранятся в электронных архивах, обрабатываются в информационных системах и передаются по телекоммуникационным сетям. Основные свойства этой информации - конфиденциальность и целостность, должны быть подкреплены законодательно, юридически, а также организационно-техническими и программными методами.Конфиденциальность информации (от лат.confidia - доверие) предполагает введение определенных ограничений круга лиц, имеющих доступ к этой информации. Степень конфиденциальности выражается некоторым установленным признаком (особая важность, совершенно секретно, секретно, для служебного пользования, не для печати и т. п.), который субъективно определяется обладателем информации в зависимости от содержания информации, которая не подлежащая разглашению, предназначенная для ограниченного круга лиц, является тайной. Естественно, установленная степень конфиденциальности информации должна сохраняться при ее обработке в информационных системах и при передаче по телекоммуникационным сетям.Еще одним важным свойством информации является ее целостность. Информация является полной, если она правильно (адекватно) отражает свою предметную область в любой момент времени. Целостность информации в информационных системах обеспечивается своевременным вводом в нее достоверной (правильной) информации, подтверждением достоверности информации, защитой от искажения и уничтожения (стирания).Несанкционированный доступ к информации не допущенных к ней лиц, преднамеренные или непреднамеренные ошибки операторов, пользователей или программ, некорректное изменение информации вследствие отказов оборудования приводят к нарушению этих важных свойств информации и делают ее непригодной для использования и даже опасной. Его использование может привести к материальному и/или моральному ущербу, поэтому создание системы защиты информации становится актуальной задачей. Под информационной безопасностью понимается защита информации от нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения доступности в формирование, а также его незаконное тиражирование.Безопасность информации в информационной системе или телекоммуникационной сети обеспечивается способностью этой системы сохранять конфиденциальность информации при ее вводе, выводе, передаче, обработке и хранении, а также противостоять ее уничтожению, хищению или искажению. Безопасность информации обеспечивается путем организации доступа к ней, защиты ее от перехвата, искажения и внесения ложных сведений. Для этого используются физические, технические, аппаратные, программно-аппаратные и программные средства защиты. Последние занимают центральное место в системе защиты информации в информационных системах и телекоммуникационных сетях.Задачи безопасности:- защита информации в каналах связи и базах данных криптографическими методами;- аутентификация объектов данных и пользователей (аутентификация сторон, устанавливающих соединение);- обнаружение нарушений целостности объектов данных;- обеспечение защиты технических средств и помещений, в которых обрабатывается конфиденциальная информация, от утечки по сторонним каналам и от возможно встроенных в них средств электронного удаления информации;- обеспечение защиты программных продуктов и компьютерной техники от внедрения в них программных вирусов и закладок;- защита от несанкционированных действий на канале связи со стороны лиц, не допущенных к использованию средств шифрования, но преследующих цели компрометации секретной информации и дезорганизации работы абонентских пунктов;- организационно-технические меры, направленные на обеспечение сохранности конфиденциальных данных.1.2 Меры и методы защиты информацииСлужбы информационной безопасности занимаются внедрением и разработкой организационных, технических, программно-аппаратных мер защиты коммерческих данных.Организационные мероприятия:К организационным мероприятиям относятся:• Создание инструкций по использованию компьютерной техники, обработке и хранению конфиденциальной информации;• Ознакомление персонала с правовыми и этическими нормами, относящимися к информационной сфере;• Составление трудовых договоров, предусматривающих ответственность за нарушение правил работы с секретными данными;• Разработка правил использования и хранения бумажной и электронной документации;• Разграничение доступа пользователей к информации и контроль их действий в сети.Технические меры:Для предотвращения непредвиденных ситуаций, создающих риск утечки важной информации, устанавливаются системы резервного электроснабжения, принимаются меры пожарной безопасности и защиты от стихийных бедствий.Установлены устройства сигнализации, видеонаблюдения, предотвращения несанкционированного доступа на территорию предприятия. Системы доступа оснащены идентификацией по отпечаткам пальцев или специальным картам.Приобретаются программно-аппаратные устройства для резервного копирования важной информации, обеспечения ее сохранности и своевременного уничтожения в случае необходимости.Аппаратные и программные меры защиты:• Приобретение, установка и обновление программного обеспечения для безопасного сбора, хранения и обработки коммерческой информации;• Разработка методов обнаружения и предотвращения компьютерных угроз;• Установка программ идентификации, аутентификация сотрудников, мониторинг активности использования приложений, маскировка данных, передаваемых по информационным каналам.Программные средства защиты информации:К специализированным средствам защиты программного обеспечения относятся:1. Антивирусные программы. Они позволяют обнаруживать вирусы, трояны и черви, проникающие в компьютерную систему через почту, зараженные сайты, программное обеспечение и электронные носители. Антивирусы блокируют вредоносное ПО, восстанавливают поврежденные файлы. Для защиты облачных хранилищ используются специальные антивирусы, такие как Immunet, Panda Cloud Antivirus;2. DLP-системы – программы для предотвращения внутренних угроз. Система анализирует информацию, разделяя ее по степени конфиденциальности. Отслеживает события в информационной системе и блокирует подозрительные действия пользователей;3. Anti-DDoS - защита от ложных запросов, которыми злоумышленники блокируют информационные ресурсы. Мошенники намеренно перегружают компьютерные системы массой бесполезных данных, замедляя их работу или делая серверы недоступными. К этому приему прибегают, чтобы помешать работе конкурентов или отвлечь системных администраторов от других действий (например, кражи денег со счетов клиентов банка);4. UEBA – системы отслеживания поведения пользователей в сети и выявления их подозрительной активности;5. SIEM — программные средства защиты для мониторинга в режиме реального времени, обнаружения угроз, исходящих от сетевых приложений и устройств, и своевременного реагирования на инциденты. Система уведомляет о подозрительных событиях и предоставляет отчеты;6. Программы криптографической защиты (системы шифрования DES, AES, протоколы WPA/WPA2);7. Межсетевые экраны для контроля доступности сети, фильтрации и блокировки подозрительного трафика. Они устанавливаются в виде встроенных программ или отдельных программно-аппаратных устройств;8. Прокси-серверы являются посредниками между пользователями и интернет-сетями. Информация передается через промежуточный сервер, который записывает IP-адрес, с которого получен запрос. При этом предотвращается доступ пользователей к подозрительным сайтам, а также исключается возможность отправки сообщений анонимно.;9. Системы защиты VPN, которые можно использовать для передачи зашифрованной информации по общедоступной сети по частным каналам. Такая связь позволяет организовать безопасный обмен информацией между компанией и ее филиалами без раскрытия их местонахождения;10. Ловушки DDP - набор программ, моделирующих структуру реальной информационной системы. Вместо реального IP злоумышленник атакует вымышленную систему, способную блокировать вредоносное воздействие;11. NFT - средства обнаружения сетевых атак для легального и документального подтверждения вредоносных событий.Использование таких средств и принятие соответствующих организационных мер позволяет обеспечить защиту конфиденциальной информации от угроз, исходящих извне или создаваемых инсайдерами.Для обеспечения безопасности информации в офисных сетях осуществляются различные мероприятия, объединенные понятием «система защиты информации». Система защиты информации представляет собой совокупность мер, программно-аппаратных, правовых и морально-этических норм, направленных на учет угроз нарушителей с целью минимизации возможного ущерба пользователям и владельцам системы.Традиционные меры противодействия утечкам информации делятся на технические и организационные.К техническим мерам относятся защита от несанкционированного доступа в систему, резервирование особо важных компьютерных подсистем, организация компьютерных сетей с возможностью перераспределения ресурсов в случае выхода из строя отдельных звеньев, установка средств обнаружения и тушения пожаров, средств обнаружения воды, внедрение мероприятия по конструктивной защите от краж, саботажа, саботажа, взрывов, установка систем резервного электроснабжения, оборудование помещений замками, установка систем сигнализации и многое другое.Организационные меры включают в себя защиту серверов, тщательный подбор персонала, исключение случаев проведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после его выхода из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).Несанкционированный доступ к информации может иметь место при профилактике или ремонте компьютеров путем считывания остаточной информации на носителе, несмотря на ее удаление пользователем обычными методами. Другой способ – считывание информации с носителя при его транспортировке без защиты внутри объекта или региона.Современные компьютерные средства построены на интегральных схемах. При работе таких цепей происходят высокочастотные изменения уровней напряжения и тока, что приводит к возникновению электромагнитных полей и выводов в силовых цепях, в эфире, в близлежащем оборудовании и т.п., которые могут быть преобразованы в обрабатываемую информацию , с использованием специальных средств. С уменьшением расстояния между приемником злоумышленника и аппаратурой возрастает вероятность такого рода снятия и расшифровки информации.Несанкционированный доступ к информации также возможен при непосредственном подключении «шпионских» средств злоумышленника к каналам связи и сетевому оборудованию.Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролем.Идентификация и аутентификация. В компьютерных системах сосредоточена информация, право использования которой принадлежит определенным лицам или группам лиц, действующим по собственной инициативе или в соответствии со служебными обязанностями. В целях обеспечения безопасности информационных ресурсов, исключения возможности несанкционированного доступа, усиления контроля санкционированного доступа к конфиденциальной или секретной информации внедряются различные системы идентификации, аутентификации объекта (субъекта) и контроля доступа. В основе построения таких систем лежит принцип допуска и исполнения только таких запросов к информации, в которых имеются соответствующие признаки уполномоченных полномочий.Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация – это присвоение объекту или субъекту уникального имени или образа. Аутентификация – это установление подлинности, т.е. проверка того, действительно ли объект (субъект) является тем, за кого себя выдает.Конечной целью процедур идентификации и аутентификации объекта (субъекта) является предоставление ему доступа к информации ограниченного доступа в случае положительного результата проверки или отказ в допуске в случае отрицательного результата проверки.Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и т.д.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (руководство, распечатки и т.п.); магнитные носители; информация на экране монитора и т.д.Аутентификация объекта может осуществляться аппаратным устройством, программой, человеком и т.п.Защита паролем. Пароль — это набор символов, определяющий объект (субъект). При выборе пароля задавайте вопросы о его размере, устойчивости к несанкционированному подбору и способах его использования. Естественно, чем больше длина пароля, тем большую безопасность обеспечит система, ведь для его подбора потребуется немало усилий. При этом выбор длины пароля во многом определяется развитием технических средств, их элементной базой и производительностью.В случае использования пароля необходимо периодически заменять его новым, чтобы снизить вероятность его перехвата путем прямого хищения носителя, снятия с него копии и даже физического принуждения человека. Пароль вводится пользователем в начале взаимодействия с компьютерной системой, иногда в конце сеанса (в особо критических случаях пароль обычного выхода может отличаться от входного). Для компетенции пользователя может быть предусмотрен ввод пароля через определенные промежутки времени.Пароль может использоваться для идентификации и аутентификации терминала, с которого входит пользователь, а также для обратной аутентификации компьютера по отношению к пользователю.Для идентификации пользователей могут использоваться сложные с точки зрения технической реализации системы, обеспечивающие подлинность пользователя на основе анализа его индивидуальных параметров: отпечатки пальцев, линии рук, радужная оболочка, тон голоса и т. д.Широкое распространение получили методы физической идентификации с использованием носителей кода-пароля. Такие носители проходят в системах управления; пластиковые карты с указанием фамилии владельца, его кода, подписи; пластиковые карты с магнитной полосой; пластиковые карты со встроенным чипом (смарт-карты); оптические карты памяти и др.Средства защиты информации по способам реализации можно разделить на три группы:• программное обеспечение;• программное и аппаратное обеспечение;• аппаратное обеспечение.Программные средства защиты информации – это специально разработанные программы, реализующие функции безопасности компьютерной системы, выполняющие функцию ограничения доступа пользователей по паролям, ключам, многоуровневого доступа и т.п. Эти программы могут быть реализованы практически в любой удобной операционной системе. Как правило, эти программные средства обеспечивают достаточно высокую степень защиты системы и имеют приемлемую стоимость. Когда такая система подключена к глобальной сети, возрастает вероятность взлома системы безопасности. Поэтому такой способ защиты приемлем для локальных закрытых сетей, не имеющих внешнего выхода [7, c. 43].Аппаратно-программные средства — это устройства, реализованные на универсальных или специализированных микропроцессорах, не требующие доработки схемотехники при изменении алгоритма работы. Эти устройства также адаптируются под любую операционную систему, имеют высокую степень защиты. Они будут стоить немного дороже (их цена зависит от типа операционной системы). В то же время этот тип устройств является наиболее гибким инструментом, позволяющим вносить изменения в конфигурацию по желанию заказчика. Аппаратно-программное обеспечение обеспечивает высокую степень защиты локальной сети, подключенной к глобальной.Под аппаратными средствами понимаются устройства, в которых функциональные узлы реализованы на сверхбольших интегрированных системах (СБИС) с неизменяемым алгоритмом функционирования. Этот тип устройств адаптируется под любую операционную систему, является самым дорогим в разработке, предъявляет высокие технологические требования в производстве. При этом данные устройства имеют высшую степень защиты, в них невозможно попасть и внести конструктивные или программные изменения. Использование аппаратных средств затруднено из-за их высокой стоимости и статичности алгоритма [6, c. 99].Программно-аппаратные средства, уступая аппаратным по быстродействию, в то же время позволяют легко модифицировать алгоритм функционирования и не имеют недостатков программных методов.В отдельную группу мер по обеспечению сохранности информации и выявлению несанкционированных запросов входят программы выявления нарушений в режиме реального времени.В области сертификации средств защиты информации в России два основных регулятора – ФСТЭК  и ФСБ. ФСБ занимается, в основном, сертификацией криптографических средств, а остальные средства защиты информации (не)нужно (обсудим дальше) сертифицировать во ФСТЭК.Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.На сайте ФСТЭК можно найти ряд средств, которые предназначены для защиты информации на предприятии:устройство защиты МП-1Аустройство защиты МП-1Цпрограммно-аппаратный комплекс «Сервер безопасности DioNIS Security Server» с встроенным межсетевым экраном «DioNIS Firewall» (модификации «DioNIS TS/FW 16000», «DioNIS TS/FW 160FD», «DioNIS TS/FW 1600R, «DioNIS TS/FW 1600V»)устройство защиты громкоговорителей «УЗГ»программный пакет для разработки приложений, реализующих функции обеспечения целостности информации «ФИКС-библиотека 1.0»средство создания модели системы разграничения доступа «Ревизор-1 ХР»программа контроля полномочий доступа к информационным ресурсам «Ревизор-2 ХР». 1.3 Основные направления защиты документированной информацииВ соответствии с этими угрозами формируются задачи защиты информации в документооборотах, направленные на предотвращение или смягчение этих угроз.Основным направлением защиты документированной информации от возможных опасностей является формирование защищенного документооборота, то есть использование специализированной технологической системы при обработке и хранении документов, обеспечивающей сохранность информации на любом виде носителя [5, c. 82].Под защищенным документооборотом (документооборотом) понимается управляемое перемещение конфиденциальной документированной информации через регламентированные пункты приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационно-технологической безопасности, как носителя информации, так и самой информации.В дополнение к принципам, общим для управления документами, безопасное управление документами основано на ряде дополнительных принципов:- ограничение доступа персонала к документам, файлам и базам данных по служебной, служебной или производственной необходимости;- персональная ответственность должностных лиц за предоставление разрешения работникам на доступ к конфиденциальной информации и документам;-личная ответственность каждого работника за сохранность вверенных ему средств массовой информации и конфиденциальность информации;-строгая регламентация порядка работы с документами, делами и базами данных для всех категорий персонала, включая топ-менеджеров. [8, c. 78].Принцип избирательности при доставке и использовании конфиденциальной информации приобретает несколько иное содержание в защищенном документообороте. В ее основе лежит разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам и базам данных. Целью избирательности является не только оперативность доведения документированной информации до потребителя, но и доведение до него только той информации, с которой ему разрешено работать в соответствии со своими функциональными обязанностями. Избирательность распространяется не только на полученные документы, но и на документы, которые составляются сотрудниками на рабочем месте или с которыми сотрудники только знакомятся [4, c. 75].Безопасность документооборота достигается за счет:-одновременное применение режимных (разрешительных, ограничительных) мер и технологических приемов, входящих в систему обработки и хранения конфиденциальных документов;-нанесение отличительного знака (гриф) на чистом носителе конфиденциальной информации или документе, в том числе сопроводительном, позволяющем выделить их в общем потоке документов;- формирование независимых, обособленных потоков конфиденциальных документов и (часто) их дополнительное разделение на подпотоки в соответствии с уровнем конфиденциальности перемещаемых документов;-использование автономной технологической системы обработки и хранения конфиденциальных документов, не контактирующей с системой обработки открытых документов.Под исполнением конфиденциального документа понимается процесс документирования управленческих решений и действий, результатов выполнения задач и отдельных заданий, поручений руководителями и работниками компании, а также выполнения возложенных на них функций в должностных обязанностях. описания. Факторами, инициирующими процесс исполнения, являются:-получение руководителем, работником (исполнителем) полученного документа;-письменное или устное указание начальника;- устный запрос информации или принятия решения от других фирм, учреждений и частных лиц;-задачи и поручения, включаемые в планы работы, графики работы, должностные инструкции и другие организационно-плановые документы;-полезная информация, полученная из реферативно-информационных сборников, рекламных изданий.Выводы по главе:В отличие от исполнения процесс использования документа предполагает его включение в информационно-документационную систему, обеспечивающую исполнение других документов, реализацию управленческих действий и решений. Для использования в работе обычно поступают законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, различные рекламные издания и научно-техническая информация. Процесс ознакомления с конфиденциальным документом – информирование работника компании или иного заинтересованного лица, осуществляемое в соответствии с постановлением уполномоченного руководителя по конфиденциальному документу, о принятом этим руководителем решении или решении иной организационной структу.Защита документированной информации в документооборотах обеспечивается комплексом различных мероприятий режимного, технологического, аналитического и контрольного характера. Перемещение документа при выполнении каждого этапа, процедуры обработки или исполнения обязательно сопровождается комплексом сопутствующих учетных операций, закрепляющих документ за конкретным работником и его личную ответственность за сохранность носителя и конфиденциальность информации.Технологический процесс учета конфиденциальных документов в т.ч. включает в себя ряд процедур, обязательных для любого вида учета и любого вида обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, обеспечивающих физическую сохранность документа и его частей, а также недопущение разглашения и утечки сведений, содержащихся в документе.2. Построение эффективной системы защиты информационной безопасности2.1 Обеспечение информационной безопасностиСегодня многие российские компании решают задачи по созданию системы защиты информации (системы защиты информации), которая бы соответствовала «лучшим практикам» и стандартам в области защиты информации и отвечала современным требованиям к защите информации в части конфиденциальности, целостности и доступность. Причем этот вопрос актуален не только для «молодых» компаний, развивающих свой бизнес с использованием современных информационных технологий управления. Эта проблема не менее, а скорее более актуальна для предприятий и организаций, давно работающих на рынке, которые приходят к необходимости модернизации существующей системы защиты информации [3, c. 55].С одной стороны, необходимость повышения эффективности системы защиты информации связана с обострением проблем защиты информации. Здесь можно отметить, во-первых, растущую потребность в обеспечении конфиденциальности данных. Российские компании вслед за западными коллегами приходят к необходимости учета так называемых репутационных рисков, ответственности за обеспечение конфиденциальности данных своих заказчиков, субподрядчиков, партнеров. В то же время в большинстве российских компаний слабо развита организационная составляющая системы защиты информации. Например, данные как таковые часто не классифицируются, то есть компания не имеет четкого представления о том, какими типами данных она располагает с точки зрения их конфиденциальности, критичности для бизнеса. А это влечет за собой ряд проблем, начиная от сложностей в обосновании адекватности мер защиты информации и заканчивая невозможностью применения законных методов расследования в случае возникновения инцидента.Еще одна острая проблема в сфере защиты информации связана с обеспечением непрерывности функционирования информационных систем. Для многих современных компаний, в первую очередь финансовых организаций, производственных холдингов, крупных дистрибьюторов, критическим вопросом становится бесперебойная работа информационных систем, поддерживающих основной бизнес, и доступность данных. Системные сбои приводят к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных важную роль играют системы безопасности, предотвращающие злоумышленные атаки на информационную систему (атаки на отказ в обслуживании и т.п.).С другой стороны, большинство крупных компаний унаследовали «лоскутную» автоматизацию. Развитие корпоративной информационной системы (ИС) осуществляется достаточно хаотично; немногие компании полагаются на хорошо продуманную ИТ-стратегию или планы развития ИС. Обычно используется политика «латания дыр», новые ИТ-сервисы добавляются без привязки к существующим и без учета их взаимосвязи. И точно так же нет продуманной архитектуры системы защиты информации, пока мало кто определил, насколько полноценна система защиты информации, насколько она покрывает риски, является ли она избыточной или, наоборот, недостаточной , и т.д. И что немаловажно, система защиты информации редко бывает экономически оправданной [9, c. 109].Опыт нашей компании показывает, что построение эффективной системы защиты информации должно основываться на анализе рисков (в том числе анализе возможного ущерба), который является основой для выбора технических подсистем, их экономического обоснования. Плюс комплекс организационных мероприятий и создание системы управления информационной безопасностью (система управления информационными рисками). И, наконец, соблюдение проверенных на практике принципов построения системы защиты информации, например, принципа «многоуровневой» защиты.Таким образом, при построении (модернизации) системы защиты информации целесообразно реализовать цикл работ, включающий обязательный этап диагностического обследования с оценкой уязвимостей и угроз информационной системы, на основании чего система проектируется и внедряется.2.2 Построение системы информационной безопасностиДля построения эффективной системы информационной безопасности выбору и внедрению адекватных технических средств защиты должен предшествовать анализ угроз, уязвимостей информационной системы и на их основе анализ рисков информационной безопасности. Выбор аппаратно-программных средств защиты и проектирование систем защиты информации осуществляется на основе результатов такого анализа с учетом экономической оценки соотношения «затраты на проведение контрмер по снижению рисков/возможных потерь компании от инцидентов защиты информации» [2, c. 89]. Таким образом, построение системы информационной безопасности компании целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы компании, а также существующих средств контроля информационной безопасности. Экспертиза (аудит) действующей системы защиты информации позволит определить, соответствует ли уровень защищенности ресурсов информационных технологий компании требованиям, то есть обеспечены ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно проводить тесты на проникновение.Существует несколько видов обследования:• предпроектное диагностическое обследование, которое проводится при модернизации или построении системы защиты информации;• аудит системы информационной безопасности (или системы управления информационной безопасностью) на соответствие требованиям внутрикорпоративных стандартов или международных/национальных стандартов. Примером может служить сертификационный аудит системы менеджмента информационной безопасности по ISO 27001;• специальные виды экспертиз, например, при расследовании компьютерных инцидентов.Каждый этап работы имеет реальные, контролируемые результаты, что позволяет эффективно контролировать проект на всем его протяжении.В ходе экспертизы и анализа системы информационной безопасности также выявляются «владельцы» ИТ-ресурсов (включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разграничения прав доступа (пароли, разрешения), включая все правила доступа к информационной системе компании. ИТ-ресурсы классифицируются по степени важности/критичности [1, c. 65].Проверяются все процедуры безопасности, в том числе поддержка системы информационной безопасности, процесс расследования нарушений информационной безопасности, организация системы резервного копирования, разграничение прав пользователей, процедуры удаленного доступа, защита аккаунта и т.д. Определены лица, ответственные за разработку и поддержку системы информационной безопасности.В ходе анализа и моделирования возможных сценариев атак на систему защиты информации выявляются ситуации, которые могут привести к нарушению нормального «течения» бизнес-процессов. Определены возможные последствия несоответствия системы защиты информации политике безопасности компании.Если обследование проводит сторонняя организация, то на всех этапах проекта необходимо привлекать к работе персонал компании-заказчика. Это обеспечивает учет основных требований, специфики и интересов опрашиваемой компании.Следующим этапом построения системы информационной безопасности является ее проектирование, в том числе системы управления информационной безопасностью.Задача проектирования системы защиты информации тесно связана с понятием архитектуры системы защиты информации. Построение архитектуры системы защиты информации как комплексного решения, соблюдение баланса между уровнем защиты и инвестициями в систему защиты информации дают ряд преимуществ: интеграция подсистем снижает общую стоимость владения, повышает окупаемость инвестиций при внедрении и улучшает управляемость системы информационной безопасности, а следовательно, возможность отслеживания событий, связанных с информационной безопасностью.Этапы работ по проектированию системы защиты информации:1. Разработка Концепции информационной безопасности. Определены основные цели, задачи и требования, а также общая стратегия построения системы защиты информации. Определены критически важные информационные ресурсы. Разработаны требования к системе защиты информации и определены основные подходы к их реализации.2. Создание/разработка политики информационной безопасности.3. Построение модели системы управления информационной безопасностью (на основе процессно-ролевой модели).4. Подготовка технического задания на создание системы защиты информации.5. Создание модель системы защиты информации.6. Разработка технического и рабочего проекта (ТРП) на создание системы защиты информации и архитектуры системы защиты информации. В состав ТРП на создание системы защиты информации входят следующие документы.• пояснительная записка, содержащая описание основных технических решений по созданию СЗИ и организационных мероприятий по подготовке СЗИ к эксплуатации.• Обоснование выбранных компонентов системы защиты информации и определение их мест расположения. Описание разработанных профилей защиты.• Спецификация на комплекс технических средств системы защиты информации.• Спецификация на программный комплекс системы защиты информации.• Определение параметров и режима работы компонентов системы защиты информации.7. Тестирование на стенде разработанной системы защиты информации.8. Разработка организационно-распорядительных документов системы управления информационной безопасностью (политик информационной безопасности, процедур, регламентов и т.д.).9. Разработка рабочего проекта (включая документацию по используемым средствам защиты и порядка администрирования, план ввода в эксплуатацию системы защиты информации и т.д.), планирование обучения пользователей и обслуживающего персонала информационной системы.2.3 Внедрение системы безопасности информации на предприятииПосле проведения полного тестирования спроектированной системы защиты информации можно приступать к ее внедрению. Работа по внедрению системы включает в себя следующие задачи:• поставка программно-технических средств защиты информации;• установка программных компонентов;• настройка всех компонентов и подсистем;• проведение приемочных испытаний;• внедрение системы управления информационной безопасностью;• обучение пользователей;• ввод системы защиты информации в промышленную эксплуатацию.Для эффективной дальнейшей эксплуатации системы необходимо обеспечить ее поддержку и обслуживание (собственными силами компании или силами привлекаемых специалистов) [10, c. 56]. Выводы по главе:При проведении работ по созданию или модернизации системы информационной безопасности компания часто обращается за помощью к внешним консультантам. Как выбрать надежного партнера, которому можно было бы доверить одно из самых ответственных направлений бизнеса?Прежде всего, консалтинговая компания должна иметь хорошую репутацию на рынке. Во-вторых, необходимо убедиться в большом опыте в сфере информационной безопасности как самой консалтинговой компании, так и конкретных сотрудников, задействованных в проекте. В-третьих, наличие у подрядчика программно-аппаратных средств для построения испытательных стендов, проведения работ по проектированию и моделированию системы защиты информации.Кроме того, дополнительные преимущества принесет наличие высоких партнерских статусов у поставщиков программно-аппаратных комплексов (это тоже определенная гарантия опыта консалтинговой компании). И, самое главное, необходимо, чтобы у исполнителя был круглосуточно работающий центр поддержки. Услуги подрядчика по технической поддержке могут включать в себя аутсорсинг, удаленный мониторинг состояния средств защиты информации, сопровождение поддерживаемых средств.Исполнители могут выполнять работы по обслуживанию продуктов - плановая замена их версий, консультирование пользователей и т.д. То есть обеспечивается технологическая основа для того, чтобы система информационной безопасности «жила» и развивалась.ЗаключениеПроблемы, связанные с повышением безопасности информационной сферы, сложны, многогранны и взаимосвязаны. Они требуют постоянного, неослабевающего внимания со стороны государства и общества. Развитие информационных технологий побуждает к постоянному приложению совместных усилий по совершенствованию методов и средств, позволяющих достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них.Под защитой информации принято понимать использование различных средств и методов, принятие мер и осуществление мероприятий по систематическому обеспечению достоверности передаваемой, хранимой и обрабатываемой информации.Существует несколько основных задач, решение которых в информационных системах и телекоммуникационных сетях обеспечивает защиту информации.Этот:- организация доступа к информации только для допущенных к ней лиц;- подтверждение достоверности информации;- защита от перехвата информации при ее передаче по каналам связи;- защита от искажения и ввода ложной информации.Защита информации означает:- обеспечить физическую целостность информации, т.е. предотвратить искажение или уничтожение элементов информации;- не допускать подмены (модификации) элементов информации при сохранении ее целостности;- для предотвращения несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;- быть уверенным в том, что ресурсы, передаваемые (продаваемые) владельцем информации, будут использоваться только в соответствии с условиями, согласованными сторонами.Радикальное решение проблем защиты электронной информации может быть получено только на основе использования криптографических методов, позволяющих решать важнейшие задачи безопасной автоматизированной обработки и передачи данных. При этом современные высокоскоростные методы криптографического преобразования позволяют сохранить исходную производительность автоматизированных систем.Список использованной литературыФедеральный закон от 27.07.2006 N 149-ФЗ (ред. от 30.12.2021) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.01.2022).Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" // СЗ РФ от 3 июля 1995 г. N 27, ст. 2579.Балановская А.В. Механизм разработки инновационного проекта информационной безопасности промышленного предприятия // Вестник Самарского государственного экономического университета - 2015г. №4.Берг О.А. Должностные инструкции // Кадровый вопрос - 2013г. №3.Васильева Л. А. Методики оценки качества услуг в области охраны и безопасности труда // Вестник НГИЭИ - 2021г. №5.Гаджиева А.А., Сайгитов У.Т. Проблемы виктимологической профилактики рейдерских захватов предприятий // Пробелы в российском законодательстве - 2012г. №4.Гильмуллина Д.А. Государственная тайна в правовом государстве // Известия Оренбургского государственного аграрного университета - 2014г. №2.Говоров П.А. Должностные инструкции: нюансы оформления // Кадровый вопрос - 2012г. №8.Гурский Р.А. Правовое регулирование сегмента цифровых технологий и электронной коммерции (по материалам конференции digital world conference, december 1-2, 2016 brussels, belgium) // Актуальные проблемы правоведения - 2017г. №2.Камко А.С. Проблемы и перспективы системы противодействия мошенничеству с использованием телекоммуникационного и компьютерного оборудования // Власть и управление на Востоке России - 2017г. №4.Куракин Р.С. Государственное регулирование биржевого рынка в Исландии. Новеллы // Право и экономика - 2016г. №7.Синявин В.Ю., Васин С.М., Скворцова В.А., Тактарова С.В. Факторный анализ в исследовании деловой активности и развития бизнес-среды в сфере промышленности России // Известия высших учебных заведений. Поволжский регион. Общественные науки - 2019г. №3.