На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на: правовые, морально-этические, административные, физические и технические (аппаратные и программные).
Наилучшие результаты достигаются при системном подходе к вопросам обеспечения безопасности АИС и комплексном использовании различных мер защиты на всех этапах жизненного цикла системы, начиная с самых ранних стадий ее проектирования.
Очевидно, что в структурах с низким уровнем правопорядка, дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде всего, надо решить правовые и организационные вопросы.
Результатом этапа планирования является план защиты — документ, содержащий перечень защищаемых компонентов АИС и возможных воздействий на них, цель защиты информации в АИС, правила обработки информации в АИС, обеспечивающие ее защиту от различных воздействий, а также описание разработанной системы защиты информации.
При необходимости, кроме плана защиты на этапе планирования может быть разработан план обеспечения непрерывной работы и восстановления функционирования АИС, предусматривающий деятельность персонала и пользователей системы по восстановлению процесса обработки информации в случае различных стихийных бедствий и других критических ситуаций.
Сущность этапа реализации системы защиты заключается в установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.
Этап сопровождения заключается в контроле работы системы, регистрации происходящих в ней событий, их анализе с целью обнаружить нарушения безопасности.
В том случае, когда состав системы претерпел существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных средств), требуется повторение описанной выше последовательности действий.
Стоит отметить тот немаловажный факт, что обеспечение защиты АИС — это итеративный процесс, завершающийся только с завершением жизненного цикла всей системы.
На последнем этапе анализа риска производится оценка реальных затрат и выигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты приносит очевидный выигрыш, а во втором - лишь дополнительные расходы на обеспечение собственной безопасности.
Сущность этого этапа заключается в анализе различных вариантов построения системы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшему соотношению «эффективность/стоимость»).
Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
· невозможность миновать защитные средства;
· усиление самого слабого звена;
· невозможность перехода в небезопасное состояние;
· минимизация привилегий;
· разделение обязанностей;
· эшелонированность обороны;
· разнообразие защитных средств;
· простота и управляемость информационной системы;
· обеспечение всеобщей поддержки мер безопасности.
При этом важно ответить на вопрос: как относиться к вложениям в информационную безопасность – как к затратам или как к инвестициям? Если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат является важной для компании проблемой. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Разница в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.
Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки.
Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.
Контрольные вопросы и тесты для проверки знаний по теме *)
1. Какие имеются угрозы безопасности информации?
2. Чем занимается «компьютерный пират» (хакер)?
3. Назовите угрозы, обусловленные естественными факторами.
4. В чем отличие утечки от разглашения?
5. Назовите основные этапы построения системы защиты.
6. Какие Вы знаете методы обеспечения безопасности?
7. Какие Вы знаете средства обеспечения безопасности?
8. Назовите составные части делопроизводства.
9. Назовите основные нормативно-правовые акты обеспечения информационной безопасности организации.
| Т13 – В1. Хакерная война – это..? | |
| А | атака компьютеров и сетей гражданского информационного пространства; |
| Б | использование информации на влияние на умы союзников и противников; |
| В | блокирование информации, преследующее цель получить экономическое превосходство. |
| Т13 – В2. Конфиденциальность компьютерной информации – это..? | |
| А | предотвращение проникновения компьютерных вирусов в память ПЭВМ; |
| Б | свойство информации быть известной только допущенным и прошедшим проверку (авторизацию) субъектам системы; |
| В | безопасное программное обеспечение. |
| Т13 – В3. Угрозы доступности данных возникают в том случае, когда..? | |
| А | объект не получает доступа к законно выделенным ему ресурсам; |
| Б | легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять с себя ответственность; |
| В | случаются стихийные бедствия. |
| Т13 – В4. Внедрение компьютерных вирусов является следующим способом воздействия угроз на информационные объекты? | |
| А | информационным; |
| Б | физическим; |
| В | программно-математическим способом. |
| Т13 – В5. Логическая бомба – это..? | |
| А | компьютерный вирус; |
| Б | способ ведения информационной войны; |
| В | прием, используемый в споре на философскую тему. |
| Т13 – В6. Криптографические средства – это..? | |
| А | регламентация правил использования, обработки и передачи информации ограниченного доступа; |
| Б | средства защиты с помощью преобразования информации (шифрование); |
| В | средства, в которых программные и аппаратные части полностью взаимосвязанны. |
| Т13 – В7. Защита от утечки по побочным каналам электромагнитных излучений реализуется? | |
| А | средствами контроля включения питания и загрузки программного обеспечения; |
| Б | ограждением зданий и территорий; |
| В | экранированием аппаратуры и помещений, эксплуатацией защищенной аппаратуры, применением маскирующих генераторов шумов и помех, а также проверкой аппаратуры на наличие излучений. |
В материалах учебного пособия изложены исторические и логические аспекты информатизации общества, автоматизированных информационных систем в экономике, их видов, структуры и методики создания и функционирования в комплексных системах управления предприятием, в финансах, в бухгалтерском учете, в коммерческих банках, в налоговых органах, в коммерции, в таможенных органах и других системах.
Внимание читателя акцентируется на общих методологических аспектах создания АИС с учетом потребностей экономистов – пользователей новых информационных технологий.
Предлагаемый материал учебного пособия позволит, используя предложенные здесь базовые понятия, быстрее понять особенности информационных технологий в различных экономических системах и разобраться с реализацией электронных платежей, электронного декларирования, Интернет-банкинга и другими специфическими проблемами.
Список литературы
1. 1С:Предприятие 8.0 Управление торговлей // Нижегородский бухгалтер, №9(11), 2003.