Информационная безопасность кис доклад

Обновлено: 06.07.2024

Информационная безопасность по отношению к процессу — это свойство процесса информатизации общества, которое характеризует состояние защищенности личности, общества и государства от возможных негативных последствий информатизации.

Безопасная система — система, которая управляется с помощью соответствующих средств доступа к информации. Добровольное управление доступом — метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую последний входит.

Идентификация и аутентификация. Каждый пользователь, прежде чем получить право совершать какие-либо действия в системе, должен идентифицировать себя ввод имени пользователя при входе в систему. Процесс проверки подлинности личности пользователя называется аутентификацией.

Метки безопасности. Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его уровень доступа, метка объекта -степень закрытости информации.

Безопасность автоматизированной информационной системы обеспечивается комплексом таких мер, как технологические и административные. Они применяются к программам, данным и аппаратным средствам с целью обеспечить доступность, целостность и конфиденциальность ресурсов. Наиболее характерные составляющие безопасности автоматизированных систем хранения:• компьютерная безопасность, • безопасность данных,• безопасность коммуникаций • безопасность программного обеспечения.

Компьютерная безопасность — совокупность технологических и административных мер, которая обеспечивает доступность, целостность и конфиденциальность ресурсам, связанным с данным компьютером.

Безопасность данных — защита данных от несанкционированной модификации, разрушения или раскрытия их.

Безопасность программного обеспечения — программное обеспечение, которое осуществляет безопасную обработку данных в компьютерной системе, а также дает возможность безопасно использовать ресурсы системы.

Безопасность коммуникаций — это меры по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на запрос по каналам связи.

28. Угрозы информационной безопасности и их классификация. Компьютерная преступность.

· Угроза безопасности — потенциальное нарушение безопасности, т.е. любое обстоятельство или событие, которое может явиться причиной нанесения ущерба системе в виде разрушения, раскрытия, модификации данных или отказа в обслуживании. По цели реализации угрозы делят на: нарушение конфиденциальности; целостности; доступности. По принципу доступности различают: с использованием доступа; с использованием скрытых каналов. По характеру воздействия делят на: активные; пассивные. По способу воздействия на объект атаки различают: непосредственное воздействие на объект атаки; воздействие на систему разрешений; опосредованное воздействие. По использованию средств атаки выделяют: с использованием штатного ПО; с использованием разработанного ПО. По состоянию объекта атаки: при хранении объекта; при передаче объекта ; при обработке объекта. Существует классификация угроз, которая основывается на иерархическом разбиение угроз. Среди них выделяют: глобальные, региональные и локальные. По иерархическому признаку: глобальные, региональные, локальные.

Глобальные факторы угроз национальной безопасности : недружественную политику иностранных госу­дарств в области глобального информационного мониторинга; деятель­ность иностранных разведывательных и специальных служб; перехват электромагнитных излуче­ний; применение подслушивающих устройств; К региональным факторам угроз относятся: рост преступности в информационной сфере; несоответствие информационного обеспечения государственных и общественных ин­ститутов современным требованиям; отсутствие в республике эффективных систем обеспече­ния целостности.Компьютерная преступность — любые незаконные неэтичные или неправомерные действия, связанные с автоматической обработкой данных или их передачей. Основные виды преступлений: Внедрение компьютерного вируса — процесс внедрение вредоносной программы с целью нарушения работы ПК. Вирусы могут быть внедрены в операционную систему, прикладную программу или в сетевой драйвер. Несанкционированный доступ к информации — может осуществляться с целью её хищения или же ради развлечения и последующего использования данной информации Подделка выходной информации — подделка информации может преследовать различные цели. Итогом подделки является то, что конечному потребителю информации будут предоставлены недостоверные данные. Несанкционированное копирование конфиденциальной информации — в процессе работы каждой компании неизбежны случаи утечки конфиденциальной информации. Организации несут огромные потери из-за несанкционированного распространения конфиденциальной информации.

31. Политика безопасности.

Политика безопасности — набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. Задачи: 1 кому и какая инфа необход для выполн служебн обязанностей, 2 какая степень защиты необход для каждого вида инфы, 3 опред, какие именно сервисы информ безопасности и мехмы их реализ необход испол-ть в сис-ме, 4 как организ работу по ЗИ.

На практике политика безопасности трактуется несколько шире — как совокупность документированных административных решений, направленных на обеспечение безопасности информационного ресурса. Результатом политики являетсявысокоуровневый документ, представляющий систематизированное изложение целей, задач, принципов и способов достижения информационной безопасности. В политике безопасности должна быть утверждена схема управления распределением прав доступа к сервисам — централизованная или децентрализованная, или иная. Должно быть четко определено, кто распоряжается правами доступа к сервисам и какими именно правами. С практической точки зрения, политику безопасности целесообразно разделить на несколько уровней. Как правило, выделяют два-три уровня.

Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области информационной безопасности; вопросам выделения и распределения ресурсов; принципам технической политики в области выбора методов и средств защиты информации; координированию мер безопасности. Средний уровень политики безопасности выделяют в случае структурной сложности организации либо при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых сервисов Internet, организация связи и обработка информации на компьютере и др.

Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. На этом уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации в рамках, конечно, управленческого уровня, но не технического. За политику безопасности нижнего уровня отвечают системные администраторы

29. Классы безопасности. Стандарты информационной безопасности.

-класс D - подсистема безопасности. Она присваивается тем сис­темам, которые не прошли испытаний на более высокий уровень защи­щенности, а также системам, которые для своей защиты используют лишь отдельные функции безопасности;

-класс С1 - избирательная защита. Средства защиты данного клас­са отвечают требованиям избирательного управления доступом. При этом обеспечивается разделение пользователей и данных. Каждый субъ­ект идентифицируется и аутентифицируется в этом классе и ему задает­ся перечень допустимых типов доступа;

-класс С2 - управляемый доступ. Требования данного класса такие же, что и в классе С1. При этом добавляются требования уникальной идентификации субъектов доступа, защиты и регистрации событий;

-класс В1 - меточная защита. Метки конфиденциальности при­сваиваются всем субъектам и объектам системы, которые содержат кон­фиденциальную информацию. Доступ к объектам внутри системы раз­решается только тем субъектам, чья метка отвечает определенному кри­терию относительно метки объекта;

-класс В2 - структурированная защита. Требования данного клас­са включают в себя требования класса В1 и наличие требований хорошо определенной и документированной формальной модели политики безопасности и управления информационными потоками (контроль скрытых каналов) и предъявление дополнительного требования к защите механизмов аутентификации;

-класс ВЗ - область безопасности. В оборудовании систем данного класса реализована концепция монитора ссылок. Все взаимодействия субъектов с объектами должны контролироваться этим монитором. Дей­ствия должны выполняться в рамках областей безопасности, которые имеют иерархическую структуру и защищены друг от друга с помощью специальных механизмов/Механизм регистрации событий безопасности оповещает администратора и пользователя о нарушении безопасности;

-класс А1 - верифицированная разработка.

Для проверки специфи­каций применяются методы формальной верификации - анализа специ­фикаций систем на предмет неполноты или противоречивости.

Международны стандарты: BS 7799-1:2005 — Британский стандарт BS 7799 первая часть. BS 7799 Part 1 — Code of Practice for Information Security Management Практические правила управления информационной безопасностью описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью СУИБ организации, определённых на основе лучших примеров мирового опыта best practices в данной области. Этот документ служит практическим руководством по созданию СУИБ BS 7799-2:2005 — Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 — Information Security management — specification for information security management systems Спецификация системы управления информационной безопасностью определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации. BS 7799-3:2006 — Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности ISOIEC 17799:2005 — Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности. ISOIEC 27000 — Словарь и определения. ISOIEC 27001:2005 — Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования.

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз безопасности автоматизированных систем. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа риска и формулирования требований к системе защиты автоматизированных систем.
Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

Содержание

Введение
1. Классификация угроз безопасности
1.1 Основные непреднамеренные искусственные угрозы
1.2 Основные преднамеренные искусственные угрозы
Заключение
Список использованной литературы

Работа содержит 1 файл

КИС контр.doc

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Факультет экономики и управления

Виды угроз безопасности КИС

Выполнил: студент Максимова Е.Ю.

Курс 5 , группа______

Биробиджан 2008

1. Классификация угроз безопасности

1.1 Основные непреднамеренные искусственные угрозы

1.2 Основные преднамеренные искусственные угрозы

Заключение

Список использованной литературы

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных систем является определение, анализ и классификация возможных угроз безопасности автоматизированных систем. Перечень угроз, оценки вероятностей их реализации, а также модель нарушителя служат основой для проведения анализа риска и формулирования требований к системе защиты автоматизированных систем.

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.

Угрозой интересам субъектов информационных отношений называется потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты КИС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

В силу особенностей современных КИС, перечисленных выше, существует значительное число различных видов угроз безопасности субъектов информационных отношений.

1. Классификация угроз безопасности

Все множество потенциальных угроз по природе их возникновения разделяется на два класса: естественные (объективные) и искусственные (субъективные) Естественные угрозы - это угрозы, вызванные воздействиями на КИС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы КИС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

- непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КИС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

- преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Источники угроз по отношению к КИС могут быть внешними или внутренними (компоненты самой КИС - ее аппаратура, программы, персонал).

1.1 Основные непреднамеренные искусственные угрозы

Основные непреднамеренные искусственные угрозы КИС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);

2) неправомерное отключение оборудования или изменение режимов работы устройств и программ;

3) неумышленная порча носителей информации;

4) запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);

5) нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

6) заражение компьютера вирусами;

7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;

8) разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);

9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опасность для работоспособности системы и безопасности информации;

10) игнорирование организационных ограничений (установленных правил) при работе в системе;

11) вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);

12) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом службы безопасности;

13) ввод ошибочных данных;

14) неумышленное повреждение каналов связи.

1.2 Основные преднамеренные искусственные угрозы

Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:

1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);

2) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.п.);

3) действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);

4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);

5) применение подслушивающих устройств, дистанционная фото- и видеосъемка ;

6) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

7) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);

8) несанкционированное копирование носителей информации;

9) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

11) несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.;

12) вскрытие шифров криптозащиты информации;

13) внедрение аппаратных спецвложений, программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.

Проблема защиты вычислительных систем становится еще более серьезной и в связи с развитием и распространением вычислительных сетей, территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам.

В качестве возможных нежелательных воздействий на компьютерные системы должны рассматриваться: преднамеренные действия злоумышленников, ошибочные действия обслуживающего персонала и пользователей системы, проявления ошибок в ее программном обеспечении, сбои и отказы оборудования, аварии и стихийные бедствия.

В качестве защищаемых объектов должны рассматриваться информация и все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом).

Комплексная защита информации ограниченного доступа в корпоративных информационных системах

В ближайшее время ожидается рост количества корпоративных информационных систем, так как руководством страны взят курс на формирование в стране цифровой экономики, ориентированной на повышение эффективности всех отраслей за счет использования информационных технологий 1 , а значит, возрастает и необходимость защиты обрабатываемой в них информации.

Константин Саматов
Начальник отдела по защите информации ТФОМС
Свердловской области, член Ассоциации руководителей
служб информационной безопасности, преподаватель
информационной безопасности УРТК им. А.С. Попова

Основные понятия

Понятие "корпоративная информационная система" (КИС) содержится в ст. 2 Федерального закона от 06.04.2011 г. № 63-ФЗ "Об электронной подписи". Под КИС понимается информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц. При этом круг лиц, участвующих в информационном обмене, могут составлять не только структурные подразделения организации – оператора КИС, но и ее контрагенты. Главное лишь то, что состав и количество участников строго определены.

Оператор информационной системы – гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных (ст. 2 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации").

Под информационной системой понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (ст. 2 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Поэтому рассматривать вопрос защиты информации в КИС необходимо с определения того, какая информация подлежит защите.

Информация, подлежащая защите в корпоративной информационной системе

Действующее законодательство подразделяет информацию на два вида: общедоступная и информация ограниченного доступа (ч. 2 ст. 5 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации"). Информацию ограниченного доступа можно разделить на две большие группы – это государственная тайна и сведения конфиденциального характера.

Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (ст. 2 Закона РФ от 21.07.1993 г. № 5485-1 "О государственной тайне"). Исходя из практики автора, можно сказать, что с указанной группой информации, как правило, меньше всего проблем (в сравнении с другими видами тайн). Перечень указанной информации конкретен. Порядок обработки строго регламентирован. Перед началом обработки сведений, составляющих государственную тайну, организация должна получить соответствующую лицензию. Санкции за нарушение порядка обработки жесткие. Кроме того, количество субъектов, имеющих подобную информацию, невелико.

К сведениям конфиденциального характера относится порядка 50 видов тайн, наиболее распространенными из них являются коммерческая тайна и личная (семейная) тайна, разновидностью которой являются персональные данные.

Персональные данные в КИС есть практически всегда. В частности, любая организация, у которой есть хотя бы один работник или паспортные данные хотя бы одного клиента, будет являться оператором персональных данных в понимании Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных". То есть если в корпоративной CRM-системе обрабатываются данные о клиентах (например, ФИО и адрес доставки) или эти данные находятся в файле MS Excel на рабочей станции, можно с уверенностью говорить о том, что в КИС обрабатываются персональные данные и, следовательно, организация обязана выполнять требования по их защите. На практике же руководители большинства организаций этого не понимают и считают, что персональные данные у них не обрабатываются, в связи с чем мер по защите информации до наступления какого-либо инцидента не предпринимают.

Помимо персональных данных, практически в любой КИС есть информация, которая имеет действительную или потенциальную ценность в силу ее неизвестности третьим лицам, разглашения или неконтролируемой передачи которой организация стремится избежать (коммерческая тайна). На практике распространенной является такая ситуация, когда перечень этой информации содержится исключительно в сознании руководителя или собственника организации.

Ключевым является обучение персонала правилам информационной безопасности, которое должно проводиться с определенной периодичностью.

Поэтому нередко персонал неумышленно передает (пересылает участнику информационного обмена, которому она не предназначена) хранящуюся в КИС информацию или разглашает ее (выкладывает в открытый доступ). При этом в отсутствие утвержденного перечня информации, составляющей коммерческую тайну, привлечь сотрудника к дисциплинарной ответственности за совершение указанных действий невозможно.

С учетом изложенного актуальным становится вопрос принятия в организации комплекса мер защиты информации, обрабатываемой в корпоративной информационной системе.

Меры защиты информации в корпоративной информационной системе

Выделяют три основные группы мер:

1. Организационные (организационно-юридические). Подготовка организационно-распорядительной документации по вопросам защиты информации: инструкции, регламенты, приказы, методические указания. Цель – упорядочивание бизнес-процессов и соответствие требованиям внутреннего и внешнего регулирования (так называемый "комплаенс", "бумажная безопасность"). Данный вид мер можно назвать основным, так как:

Отсюда получивший распространение в среде специалистов по безопасности термин "бумажная безопасность".

практически в любой КИС есть информация, которая имеет действительную или потенциальную ценность в силу ее неизвестности третьим лицам, разглашения или неконтролируемой передачи которой организация стремится избежать (коммерческая тайна). На практике распространенной является такая ситуация, когда перечень этой информации содержится исключительно в сознании руководителя или собственника организации.
Поэтому нередко персонал неумышленно передает (пересылает участнику информационного обмена, которому она не предназначена) хранящуюся в КИС информацию или разглашает ее (выкладывает в открытый доступ). При этом в отсутствие утвержденного перечня информации, составляющей коммерческую тайну, привлечь сотрудника к дисциплинарной ответственности за совершение указанных действий невозможно.

2. Технические меры. Техническая защита информации включает в себя четыре группы мер:

1. Инженерно-техническая защита. Ее целью является защита от физического проникновения нарушителя на объекты, на которых располагаются технические средства КИС (автоматизированные рабочие места, сервера и т.п.). Защита от проникновения достигается путем применения инженерно-технических сооружений: заборов, дверей, замков, турникетов, сигнализаций, видеонаблюдения и т.п.
2. Защита от несанкционированного доступа к информации. Целью данной группы мер является предотвращение несанкционированного доступа непосредственно к самой обрабатываемой в информационной системе информации. Реализуется путем проведения следующих мероприятий:
   • управление доступом (пароли, назначение полномочий);
   • регистрация и учет (журналирование);
   • межсетевое экранирование;
   • антивирусная защита;
   • применение средств обнаружения (предотвращения) вторжений.
3. Защита от утечек по техническим каналам. Цель – защита информации от утечек по техническим каналам (визуальный, аудиальный, побочных электромагнитных излучений) в процессе обработки информации в КИС. Реализуется применением следующих мер:
   • оборудование окон жалюзи (шторами);
   • применение средств защиты от утечки по акустическим каналам, так называемых виброакустических глушилок;
   • применение специальных фильтров для защиты от побочных электромагнитных излучений и наводок. Однако данные меры на практике необходимы лишь для государственных информационных систем или информационных систем, в которых обрабатывается государственная тайна.
4. Криптографическая защита информации. Применение средств криптографической защиты информации в последние годы набирает достаточно большие обороты, во многом благодаря активному развитию корпоративных систем электронного документооборота и применения в них электронной подписи как механизма обеспечения целостности информации. В практической деятельности механизмы криптографического преобразования информации используются в целях обеспечения прежде всего конфиденциальности информации, хранимой в базах данных либо на рабочих станциях, а также для защиты информации в процессе информационного обмена (при передаче). Собственно, только используя криптографическое преобразование, возможно полноценное построение VPN-сетей (Virtual Private Network).

3. Морально-этические меры предназначены для недопущения или хотя бы минимизации разглашения информации ограниченного доступа пользователями КИС.

По различным исследованиям, количество утечек информации от сотрудников составляет от 80 до 95%, при этом подавляющее большинство – порядка 90% утечек – не связаны с умышленными действиями.

По различным исследованиям, количество утечек информации от сотрудников составляет от 80 до 95%, при этом подавляющее большинство – порядка 90% утечек – не связаны с умышленными действиями.

Морально-этические меры неразрывно связаны с кадровой безопасностью и предусматривают прием на работу квалифицированного персонала, контрольные мероприятия, детальные должностные инструкции, обучение персонала, строгий контроль доступа, обеспечение безопасности при увольнении сотрудников. По мнению автора, ключевым является обучение персонала правилам информационной безопасности, которое должно проводиться с определенной периодичностью. Так, в частности, автор ежегодно готовит приказ, предусматривающий ежеквартальное обучение сотрудников организации, в которой он работает.

Кроме того, для предотвращения утечек информации от персонала по каналам связи (электронная почта, мессенджеры, социальные сети) существует целый класс систем защиты информации, называемый "DLP-системы" (Data Loss (Leak) Protection (Prevention), в целом именуемые как "системы предотвращения утечек". Данные системы в настоящее время являются одним из популярных решений по контролю за персоналом, используемым руководителями как служб информационной, так и экономической безопасности. Большинство существующих на рынке систем данного класса позволяет обеспечить не только мониторинг и блокировку электронных каналов коммуникации, но и мониторинг активности пользователей, позволяющий выявлять сотрудников, нерационально использующих рабочее время: опаздывают на работу и уходят раньше, "сидят" в социальных сетях, играют в компьютерные игры, работают на себя.

Еще одним трендом в вопросе кадровой безопасности, появившимся буквально несколько месяцев назад, являются системы мониторинга и выявления отклоняющегося от нормы поведения пользователей – User and Entity Behavior Analytics (UEBA). Данные системы предназначены для анализа поведения пользователей и выявления на его основе актуальных угроз кадровой и информационной безопасности.

Общие выводы и рекомендации

Таким образом, в подавляющем большинстве корпоративных информационных систем обрабатываются персональные данные и коммерческая тайна, а соответственно, все они требуют защиты. Практически всегда, особенно в коммерческом секторе, вопросы защиты информации вступают в конфликт с удобством работы сотрудников и финансированием указанных мероприятий. В работе автором рассмотрен минимальный набор мер, направленных на защиту информации в любой КИС. Данный перечень мер не требует уникальных познаний и доступен для практического применения практически любым специалистом в области информационных технологий. Кроме того, большинство из предложенных мер не требует значительных финансовых затрат.

___________________________________________
1 Послание Президента Российской Федерации Федеральному Cобранию Российской Федерации от 1 декабря 2016 г.

Читайте также:

  
• Доклад на тему интересы детей
  
• Доклад про белокрыльник болотный
  
• Доклад на тему природа и дети
  
• Доклад на тему профориентационная работа классного руководителя
  
• Доклад о святой дарьи