Информационная безопасность предприятия на примере

Информационная безопасность предприятия на примере

Библиографическая ссылка на статью:
Сенаторова А.С., Захарова Е.А. Обеспечение информационной безопасности на предприятии // Современная техника и технологии. 2015. № 4 [Электронный ресурс]. URL: https://technology.snauka.ru/2015/04/6191 (дата обращения: 12.04.2021).

Современный мир характеризуется такой тенденцией, как увеличение роли информации. Она стала продуктом, который можно купить, продать, обменять. Появилось множество отраслей производства, которые буквально на сто процентов состоят из информации. Например, компания, которая занимается выпуском программного обеспечения или агентство по созданию web-сайтов. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она находиться.

Современная информационная система крайне сложна и состоит из огромного числа связанных компонентов различного уровня автономности, которые способны обмениваться данными. Практически каждый компонент может быть подвергнут внешнему воздействию или выйти из строя. А с повышением значимости и ценности информации соответственно растет и важность защиты этих компонентов.

Безопасность информации определяется как защищенность всей поддерживающей ее инфраструктуры от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. И целью ее обеспечения на предприятии является построение системы обеспечения информационной безопасности данного объекта.[1] В общем случае концепция этой системы должна отвечать на такие вопросы:

— От кого(чего) защищать?

И соответствовать следующим принципам:

— Затраты на обеспечение безопасности ни в коем случае не должны превышать размеры возможного ущерба;

— Система обеспечения безопасности должна разрабатываться, исходя из предположения, что пользователи будут наносить ей ущерб;

— Система обеспечения безопасности должна быть обязательно протестирована;

— Гибкость системы обеспечения безопасности, предусматривающей внесение в нее изменений администратором;

— Пользователи располагают меньшими привилегиями, чем администратор, необходимыми лишь для осуществления своей работы;

— Простота взаимодействия системы обеспечения безопасности и пользователей;

— Возможность отключить систему в экстренных ситуациях;

— Все, кто взаимодействует с системой обеспечения безопасности должны знать то, как она функционирует и в затруднительных ситуациях незамедлительно на это реагировать;

— Вся система обработки данных должна находиться под защитой;

— Возможность проверки эффективности работы системы безопасности;

— Объекты находящиеся под защитой необходимо поделить на группы так, чтобы нарушение защиты в одной из групп не оказывало влияние на защищенность других;

— Самые важные и сложные решения должен принимать человек;

— Механизмы системы обеспечения безопасности желательно, должны быть скрыты от пользователей;

— Работу пользователей необходимо контролировать.

В общих словах обеспечение защиты информационной системы сводиться к реализации таких свойств как: доступность данных, их целостность и конфиденциальность.

Но стоит помнить, что говорить о создании системы безопасности можно с учетом характеристик конкретного субъекта и защиту информационных систем ни в коем случае нельзя сводить только к технике. Она зависит от слабого звена, а самым слабым звеном чаще всего является человек. По этой причине на данный момент существуют всевозможные методы и системы защиты информации. Они имеют большое количество различий друг с другом, но, тем не менее, их можно поделить на следующие основные группы:

1. Формальные средства защиты – выполняют свои функции обособленно от человеческой деятельности, по заранее определенному алгоритму.

1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от информационных систем. Они создают преграды в прямом смысле этого слова. Например: конструкция здания и средства обеспечения безопасности непосредственно в нем и на его территории от проникновения злоумышленников, защиту аппаратных средств и носителей информации от кражи, организацию пропускной системы сотрудников и контроль над их перемещением на предприятии, противопожарную защиту помещений и т.д.

1.2 Аппаратные средства- устройства и системы механического, электрического, электронного, лазерного, зрительного либо радиолокационного плана, находящиеся непосредственно в информационной системе или зависящих от нее, созданные непосредственно для защиты информации. Пример таких средств:

Смарт-карты и USB -токены – средства, которые содержат в себе интегральную схему, наделяющую их способностью обрабатывать данные. Эти устройства осуществляют защиту информации находящейся на них при ее использовании. Так же обеспечение безопасности информации на данных устройствах может основываться на защищенной памяти устройства и его способности менять, перезаписывать и удалять данные. Для организации этого в них содержится особая программа или даже небольшая операционная система, позволяющая изменять данные по запрограммированному алгоритму.

Смарт-карты выглядят как кредитная карта, usb-токен, как очевидно имеет вид usb-флеш-накопителя. Не смотря на их вид, они являются друг другу аналогами.

Электронные ключи защиты — это программно – аппаратная система защиты от незаконного пользования, созданная с целью ограничения доступа к информации и программам. Для обеспечения этого вместе с программным обеспечением компании дается USB-ключ, с помощью которого происходит процесс установления легальности .

Такие средства защиты являются самыми функциональными и дорогостоящими. Обычно они разрабатываются персонально, под заказ, поэтому система обеспечения безопасности в таких системах довольно гибкая, она позволяет изменять данные под определенного пользователя.

1.3 Программные средства –специальная программа или программы, которые находятся на жестком диске компьютера, и используются в целях обеспечения безопасности данных. Примером программных средств могут служить элементарные персональные ограничения на выполнение каких-либо действий, будь то доступ к компьютеру или удаление файлов.

В сравнении с остальными средствами защиты эти являются самыми недорогостоящими. Потому что данные для их работы устанавливаются сразу, и не меняются, по причине того, что это часть программы. Из-за этой же причины велика вероятность взломов или поломки этой системы.

1.4 Специфические средства защиты- это криптографические методы. Такие средства защиты могут быть использованы с целью защиты информации, которая обрабатывается, либо для ее защиты при передаче. Само преобразование информации может быть реализовано аппаратными или программными средствами или методами.

Такие средства обеспечения безопасности продаются отдельно от программы, которую необходимо защитить. А их гибкая внутренняя система защиты позволяет препятствовать взлому. Их стоимость варьируется между стоимостью программных и аппаратных средств обеспечения безопасности.

2. Неформальные средства защиты- регламентируют деятельность человека.

Законодательные средства — законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Распространяются на все субъекты информационных отношений.

Организационные средства -для описания технологии защиты информации конкретной информационной системы обычно строится так называемая политика информационной безопасности.

Морально-этические средства -сложившиеся в коллективе предприятия моральные и этические нормы, соблюдение которых способствует защите информации. [2]

Подведя итог всему вышесказанному, хочется заметить, что защищаться от всего невозможно, из всех возможных угроз на предприятии нужно выбрать то, что наиболее существенно и важно. А выбранная верно система обеспечения информационной безопасности поможет сохранить это.

Библиографический список

  1. Филина О.А., Мелькумянц А.А. БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОБРАБОТКИ ИНФОРМАЦИИ БАНКА// Вестник образовательного консорциума “Среднерусский университет”. Серия “Информационные технологии”. №4, декабрь 2014 [Электронный ресурс] URL: http://www.vestnik-university.ru/ . (дата обращения: 08.03.2015 г.).
  2. Колеснико Д.Г. ЗАЩИТА ИНФОРМАЦИОННЫХ И КОМПЬЮТЕРНЫХ СИСТЕМ// Учебник по сайтостроению [Электронный ресурс] URL: http://protect.htmlweb.ru/ . (дата обращения: 08.03.2015 г.).

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться:

&copy 2021. Электронный научно-практический журнал «Современная техника и технологии».

Как защитить информацию внутри компании: на бумаге или в электронных документах

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Читайте также  Уголок безопасности в детском саду оформление

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.

Режим конфиденциальности может сработать и в более мирных условиях.

Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.

Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

  • О переговорах — п. 4 ст. 434.1 ГК
  • О НИОКР — ст. 771 ГК
  • О договоре подряда — ст. 727 ГК
  • О корпоративном договоре — п. 4 ст. 67.2 ГК

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Технологии защиты информации в компании

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.
Читайте также  Ежегодная проверка знаний по электробезопасности

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».

Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.

Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.

На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

  • идентифицировать информационные активы, представляющие ценность;
  • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
  • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
  • провести анализ источников угроз;
  • проанализировать сами угрозы;
  • оценить возможный ущерб;
  • подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Специалист по информационной безопасности. Что делает и сколько зарабатывает

Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.

В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.

Разобрался, чем занимается специалист по ИБ, что должен знать и где может работать

Кто такой специалист по ИБ сейчас

Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.

Но есть и более узкие специальности уже внутри сферы:

  • Пентестеры — так называемые «белые», или «этичные» хакеры. Они не взламывают ресурсы бизнеса незаконно. Вместо этого они работают на компании и ищут уязвимости, которые потом исправляют разработчики. Бывает, такие люди трудятся на окладе, или участвуют в программах Bug Bounty — когда бизнес просит проверить их защиту, обещая за найденные баги премию.
  • Специалисты по разработке — такие специалисты участвуют в создании приложений и программ. Проще говоря, изучают архитектуру и готовый код и подсказывают, что здесь может быть ошибка или «форточка» для взлома. Банальный пример — оставить в форме ввода сайта возможность отправить SQL-инъекцию.
  • Специалисты по сетям — они ищут возможные потенциальные и известные уязвимости в аппаратных и сетевых комплексах. Проще говоря, знают, как с помощью Windows, Linux или других систем злоумышленник может попасть в ваш компьютер и установить нужное ПО. Могут как найти возможность взлома, так и создать систему, в которую будет сложно попасть.
Читайте также  Датчик утечки воды с сигнализацией

Есть ещё один вариант деления специалистов:

  • Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
  • Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.

Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.

Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.

Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.

Чем занимаются специалисты по информационной безопасности

Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.

Вот типичные задачи специалиста по ИБ:

  • Изучить систему информационной безопасности в компании, разобраться, где есть явные уязвимости.
  • Посмотреть общую ситуацию, узнать, кто в принципе может заинтересоваться взломом компании.
  • Составить программу внедрения защиты. Решить, что исправлять сначала — например, настроить протоколы доступа, прописать скрипты защиты, настроить систему генерации паролей.
  • Разобраться с продуктом — найти уязвимости в коде, составить техническое задание на устранение.
  • Провести оценку системы защиты — провести согласованные атаки на сетевые ресурсы.
  • Проанализировать мониторинг — узнать, кто интересовался системой, какими способами, как часто.
  • Внедрить защиту для особо слабых узлов.

Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.

Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.

Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.

Как стать специалистом по ИБ

Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.

Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.

Нужен ли технический бэкграунд

Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.

Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.

Нужен ли английский язык

На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.

Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.

Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.

Что нужно знать для старта работы

Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:

  • Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.
  • Только сети — если посмотреть на структуру таких курсов, то окажется, что это учеба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
  • Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.

Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.

То есть и законам, и настройкам сети, и хакингу, и защите от взломов.

Стек навыков

Вот примерный список того, что нужно знать и уметь для старта:

  • Настроить сетевой стек.
  • Провести аудит системы, проанализировать, какое место уязвимое.
  • Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
  • Настроить систему мониторинга и систему предупреждения о проблемах.
  • Учитывать человеческий фактор в построении защиты.

Кроме этого, пригодится понимание криптографических и других методов защиты. Плюс разберитесь в нормативно-правовых актах в сфере ИБ, сфере ответственности государственных структур (ФСТЭК, ФСБ, Министерство Обороны, ЦБ).

Темы дипломных по Информационной безопасности

Дипломная работа по информационной безопасности представляет собой решение конкретной научно-исследовательской или практической задачи, направленной на обеспечение информационной безопасности выбранного объекта.

В качестве объекта защиты может быть: компьютерная система, составная часть компьютерной системы, бизнес-процесс, предприятие, помещение, конфиденциальный документооборот, интеллектуальная собственность и пр. Результатом дипломного проекта является разработанная и обоснованная выпускником система мер, обеспечивающая организацию и технологию защиты информации конкретного объекта, на основе использования различных защитных средств: организационных, инженерно-технических, правовых, криптографических, программно-аппаратных.

Объектами дипломной работы также могут выступать методы защиты информации, методы анализа уязвимости информации объектов, методы обоснования надежности (достаточности) выбранных мер защиты информации и т. д.

Если сформулировать тему дипломной не удается, то можно посмотреть примеры дипломных работ по информационной безопасности на сайте в перечне готовых работ.

Примерный список тем дипломных работ по информационной безопасности:

  1. Блок защиты информации каналов управления автоматизированной системы спутниковой связи
  2. Внедрение системы обнаружения вторжений в .
  3. Выбор технологии проектирования систем защиты информации
  4. Защита информации при использовании электронной почты.
  5. Защита от SQL атак
  6. ЗКИ. Получение лицензии. Возможности лицензиата
  7. Имитация многолучевого канала на основе IEEE 802.11b
  8. Информационная безопасность предприятия.
  9. Использование стандарта IEEE 802.1x на предприятии для защиты от несанкционированного доступа»
  10. Использование системы TOR при ведения двойной бухгалтерии
  11. Исследование ошибок к операционных системах
  12. Комплексная защита информации на предприятии .
  13. Комплексная защита информации на примере какого-нибудь предприятия.
  14. Комплексное обеспечение информационной безопасности при реализации угрозы попытки доступа в удаленную систему
  15. Комплексный подход к обеспечению защиты конфиденциальной информации в компании .
  16. Концепция политики безопасности и систем контроля доступа для локальных вычислительных сетей.
  17. Модель системы управления информационной безопасностью в условиях неопределенности воздействия
  18. Модернизация комплекса антивирусный защиты .
  19. Обеспечение информационной безопасности в .
  20. Организация защиты персональных данных в .
  21. Организация защиты персональных данных в организации
  22. Организация порядка установления внутриобъектного спецрежима на объекте информатизации .
  23. Организация противодействия угрозам безопасности персонала организации на примере .
  24. Основные направления, принципы и методы обеспечения информационной безопасности
  25. Построение типовой модели угроз безопасности информации кредитной организации.
  26. Проблемы информационной безопасности банков.
  27. Разработка алгоритма и программного обеспечения маскирования данных, исследование вопросов стойкости к частотному анализу
  28. Разработка комплекса режимных мероприятий по сохранности конфиденциальной информации на примере .
  29. Разработка комплексной защиты информации
  30. Разработка комплексной системы защиты коммерческой информации.
  31. Разработка корпоративной сети авиапредприятия с подключением удаленных филиалов по каналам VPN
  32. Разработка мер по технической защите конфиденциальной информации в организации.
  33. Разработка политики безопасности .
  34. Разработка политики информационной безопасности.
  35. Разработка предложений по созданию системы защиты информации в локальной вычислительной сети .
  36. Разработка проекта по созданию защищенной корпоративной сети с применением технологий VPN
  37. Разработка системы защиты информации предприятия на примере .
  38. Разработка системы защиты конфиденциальной информации в процессинговой компании
  39. Разработка системы защиты персональных данных в предприятии.
  40. Разработка системы информационной безопасности банка
  41. Разработка системы управления кадровой безопасностью организации
  42. Разработка средств защиты информации на предприятии .
  43. Разработка типового проекта защиты локальной вычислительной сети предприятия
  44. Система защиты персональных данных на предприятии
  45. Система обеспечения защиты информации в переговорной комнате .
  46. Системы управления обменными пунктами валют. организация защиты баз данных
  47. Создание Концепции ИБ
  48. Создание службы безопасности на предприятии.
  49. Средства и способы защиты информации по ПЭМИН, аттестация объектов, помещений и информ.систем.
  50. ЭЦП (проблемы использования и применения в России и т.п.)

По любой из вышеприведенных тем, а также по любой другой, можно оформить заявку на написание дипломной работы по информационной безопасности на заказ.