Основные аспекты информационной безопасности (ИБ).

Содержание

Введение
1Исторические аспекты возникновения и развития информационной безопасности
2Законодательные аспекты информационной безопасности
3Организация информационной безопасности
3.1Организационные аспекты
3.2Физические аспекты
4Психологические аспекты информационной безопасности организации
5Брендовые аспекты информационной безопасности
Заключение
Список литературы

Основные аспекты информационной безопасности (ИБ).

- заработок работника индивидуализирован и привязан к фактическим результатам труда.
Обеспечение информационной безопасности организации при увольнении сотрудника также имеет свои особенности. При намерениях сотрудника уволиться (косвенное свидетельство - посещение соответствующих сайтов в Internet, рассылка резюме) рекомендуются следующие действия:
- вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль;
- в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов.
Если сотрудник уже объявил о своем увольнении, можно принять следующие меры:
- проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе;
- сделать резервную копию файлов пользователя;
- организовать передачу дел;
- постепенно, по мере передачи дел сокращать права доступа к информации;
- по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.
Если сотрудник уличен в промышленном шпионаже необходимо:
- немедленно лишить всех прав доступа к ИТ;
- немедленно скорректировать права доступа к общим информационным ресурсам (базы данных, принтеры, факс). Перекрыть или изменить внешние входы в сеть;
- все сотрудники должны сменить пароли; при этом до сведения сотрудников доводится следующая информация: «Сотрудник N с (дата) не работает. При любых попытках контакта с его стороны немедленно сообщать в службу безопасности.»;
- некоторое время контроль над ИС осуществляется в усиленном режиме.
И в заключение приведем меры, известные как превентивные действия службы персонала по обеспечению информационной безопасности организации:
- разработка гибкой организационной структуры организации, адаптированной «под задачи», когда лишние подразделения следует ликвидировать, перераспределив и частично уволив сотрудников;
- определение приоритетов в развитии персонала и реализации функций управления ими;
- ежегодная аттестация персонала предприятия;
- систематический пересмотр «Положений о подразделениях» и «Должностных инструкций» с целью их совершенствования в соответствии с изменениями в разделении и организации труда, а также в связи с изменениями уровня профессионализма самих работников;
- разработка компенсационных пакетов (размера, структуры, соотношения различных форм вознаграждения работникам) с ориентацией на конечные результаты, значимые для организации (система сквозных показателей, например), и с учетом индикации;
- разработка системы мер профилактики противоправного поведения сотрудников, в том числе и на случаи возникновения объективных причин к снижению уровня преданности фирме (например, при угрозе увольнения). Здесь речь идет о защите конфиденциальной информации, включая соответствующие положения в трудовых соглашениях, и мерах против мошенничества, включая внутренний аудит;
- постоянное информирование сотрудников о состоянии рынка товаров и услуг, на котором действует организация, формирование рыночного мышления, обеспечение причастности к проблемам организации.
3.2 Физические аспекты
Большинство организаций, использующих информационные системы, располагают их в помещениях, зачастую не предназначенных для этих целей, что, естественно, не может не отражаться на работе оборудования. Чем функциональней и точнее ИТ-система, тем капризней и чувствительнее она к воздействию негативных внешних факторов. Это, прежде всего, относится к серверам, поддерживающим жизнеспособность всей сети.
Наиболее эффективным методом решения этой проблемы является использование комплексного подхода к созданию так называемых серверных или защищенных комнат. Специальное оборудование, располагающееся в таких помещениях, создает искусственные условия для оптимальной работы находящейся в них аппаратуры, а также ограничивает физический доступ в комнату. Но до принятия такого решения организация должна «дорасти», поскольку оно требует значительных финансовых вложений. Решение о специальном оснащении защищенной комнаты для «сердца ИТ-системы» принимают предприятия, осознавшие необходимость в оптимизации своей информационной инфраструктуры, повышении эффективности, надежности и управляемости систем, а также в снижении совокупной стоимости их владения.
Многие российские предприятия, учитывая стоимость серверной комнаты, действуют по принципу «пока гром не грянет» или, что бывает чаще, «вода не протечет». Тем не менее, существуют совершенно очевидные аргументы, говорящие в пользу защищенных комнат:
Во-первых, правильно оснащенная серверная комната позволяет защитить ценное оборудование и данные от прямого физического доступа, ограничивая доступ посторонних лиц. Комната обеспечивает информационную безопасность физическими методами.
Во-вторых, защищенные комнаты создают требуемую непрерывность и надежность рабочих процессов, защищая как от наиболее часто встречающихся проблем - протечек воды и повышения влажности в целом, так и от других неприятностей, например, пожаров. Кроме того, создание оптимальных условий для размещения серверов продлит сроки работы оборудования, позволит сэкономить на его сервисном обслуживании.
Конструктивно защищенная серверная комната представляет собой модульное сооружение, изготавливаемое на базе готовых блоков-панелей. Конфигурация каждой серверной комнаты уникальна, поскольку проектируется и обустраивается разнообразными средствами обеспечения безопасности исходя из конкретных условий среды и характера предъявляемых к ИТ-системе требований. Поэтому в отрыве от реальной ситуации определить ее стоимость можно только приблизительно. Тем не менее, цена подобных решений вполне сопоставима со стоимостью 2-3 серверов среднего уровня.
В зависимости от конфигурации, защищенная комната может быть оснащена: источником бесперебойного питания (ИБП), системой кондиционирования и регулирования чистоты и влажности воздуха, телекоммуникационными шкафами, стойками или каркасами, датчиками контроля за состоянием внутренней среды (система раннего дымообнаружения, датчики доступа, датчики физического состояния оборудования, датчики температуры/влажности), системой администрирования, а также дополнительными устройствами физической защиты комнаты. Создаются также резервные (дублирующие) системы для постоянного поддержания оптимальных условий.
В некоторых странах в целях экономии в нерабочее время основные источники электроэнергии отключаются, поэтому поддержание необходимых параметров достигается за счет резервных систем. Стоит отметить, что некоторые устройства жизнеобеспечения серверной комнаты могут быть интегрированными и предоставлять целый комплекс услуг. Таким образом, при проектировании современных серверных комнат можно создать систему жизнеобеспечения, которая будет поддерживать необходимые климатические условия, и обеспечивать высокий уровень защиты автономно и достаточно продолжительное время.
Проектированию защищенной комнаты предшествует анализ рисков и выработка концепции информационной и физической безопасности. Подобные процедуры зачастую входят в перечень услуг, предоставляемых при инсталляции.
При оценке рисков проектирования серверной комнаты учитывается множество факторов, таких как: криминогенная обстановка в регионе, проектировка здания и офисных помещений, надежность электросети, климатическая и экологическая обстановка, уровень шумового и электромагнитного загрязнения среды, вибрация и многое другое. Размещение, проектировка и оснащение защищенной серверной комнаты должны происходить с учетом полученных данных анализа.
Учитывая вес и объем оборудования, которое будет находиться в серверной комнате, целесообразно расположить ее на первом этаже. Помещение следует выбрать в максимально безопасной точке — удаленно от основного потока посетителей и персонала. Также следует исключить контакт с такими потенциально опасными объектами, как водопроводные трубы и система канализации.
Удаленное помещение также следует оградить от затопления, пожара, попадания влаги и воздействия химически агрессивных сред, шумовых и вибрационных помех. Это обезопасит серверы и ограничит несанкционированный доступ в комнату, ужесточая контроль за состоянием оборудования. Беспрепятственная циркуляция воздуха и эффективная система вентиляции также являются необходимым условием при оборудовании комнаты.
Размеры помещения для защищенной комнаты должны обеспечивать беспрепятственное размещение серверов и систем хранения с учетом возможности подключения дополнительных мощностей при перспективном росте предприятия. Минимальные размеры помещения защищенной комнаты с учетом всех необходимых требований составляют 12 квадратных метров.
Гарантией производительности и устойчивой работы серверов служит аппаратура, способная предотвратить перебои в электропитании, изменение температурного режима и влажности воздуха, исключить нежелательную вибрацию, электромагнитные помехи и т.д. Поэтому источники бесперебойного питания, системы кондиционирования и контроля влажности воздуха и пр. аппаратные средства, а так же система удаленного мониторинга состояния этих систем служат неотъемлемой частью защищенных серверных комнат.
Одним из определяющих моментов при организации защищенной комнаты является обеспечение бесперебойного энергоснабжения серверного оборудования. Поэтому помимо установки ИБП необходимо предварительно проверить надежность первичной сети электропитания и заземления. Ведь каким бы качественным ни был ИБП, включенный в систему питания, несовершенная первичная силовая сеть не позволит избежать проблем.
Современные системы бесперебойного питания, которые являются неотъемлемой частью оборудования любой защищенной комнаты, имеют гарантию от производителя от 10 до 15 лет. Некоторые из них имеют наработку на отказ до 19 лет. Таким образом, значительные затраты на оснащение защищенных комнат ИБП оправдываются надежностью и долговечностью работы этого ресурса.
В большинстве случаев для оснащения защищенных комнат предприятий малого и среднего бизнеса наиболее приемлемыми являются ИБП средней мощности: от 1 до 5—6 кВА (в зависимости от сложности системы).
Сегодня на рынке устройств бесперебойного питания успешно реализуются две принципиально разные модели топологического построения источников питания. Такие компании-производители, как APC и Tripp Lite, производившие ранее сравнительно маломощные модели, продвигают на рынке ИБП с линейно-интерактивной топологией и даже топологией off-line. В противовес им выступают известные производители, утверждая, что ИБП по топологии on-line отличаются повышенной надежностью и качеством работы. Так, например, компания Exide представляет более дорогостоящую серию Prestige on-line для систем с повышенными требованиями.
Помимо обеспечения бесперебойного питания большинство моделей ведущих производителей ИБП оснащены дополнительными возможностями. К неосновным функциям ИБП могут относиться: обработка сигналов климатических датчиков, контроль доступа в помещение, а также система оповещения при изменении обрабатываемых показателей.
Еще одной значимой системой обеспечения оптимальной жизнедеятельности защищенной комнаты является система кондиционирования. Современное высокопроизводительное серверное оборудование подвержено высоким тепловым нагрузкам. В таких условиях вентиляционная система в совокупности с естественной циркуляцией воздуха в помещении недостаточно эффективна. Для создания оптимальных климатических условий работы серверов предполагается наличие системы кондиционирования.
К системам климатического обеспечения защищенных комнат предъявляются повышенные требования. В помещении должен соблюдаться температурный режим в пределах от +18 до +24° С, влажность воздуха должна быть от 30% до 55%, а его чистота 0,0001 г/м3. Помимо этого, должен осуществляться контроль за атмосферным давлением в пределах от 84 до 107 кПа, а также вестись наблюдение за движением воздуха и скоростью изменения вышеперечисленных параметров.
Для предотвращения проблем в случае сбоев в электроснабжении серверная комната помимо основной системы кондиционирования обеспечивается еще и резервной. В этом случае серверы и ИБП размещают в специальных телекоммуникационных шкафах, оснащенных системой кондиционирования. Даже в случаях отключения основных источников электропитания в таких шкафах поддерживаются оптимальные условия работы серверов. На российском рынке системы кондиционирования и климат-контроля представлены широким спектром иностранных фирм-производителей.
В целях обеспечения дополнительной физической безопасности серверного оборудования специалисты в области защищенных комнат предлагают размещать его в стойках или телекоммуникационных шкафах. В этих условиях серверная аппаратура, кабели, силовые и сигнальные провода защищены от механического воздействия извне. Кроме того, как уже упоминалось, некоторые телекоммуникационные шкафы оснащены интегрированной системой климат-контроля, а также защитой линий передачи данных от импульсных помех.
Еще одним немаловажным условием создания рабочего микроклимата в защищенной комнате является освещение. Поскольку в таком помещении нежелательно наличие оконных проемов из соображений физической безопасности оборудования, предпочтение отдается постоянному искусственному освещению.
В осветительных приборах рекомендуется использовать лампы накаливания или галогенные лампы для снижения количества электромагнитных помех (3 В/м во всех диапазонах рабочих частот). При этом уровень освещения должен составлять не менее 540 лк на высоте 1м.
В связи с ограниченным доступом в защищенную серверную комнату возникает проблема дистанционного администрирования серверного оборудования, а также систем безопасности.
Возможности управления и мониторинга состояния оборудования серверной комнаты представлены широким набором решений. Наиболее простое из них — создание системы оповещения, предусматривающей одностороннюю связь и осуществляющейся посредством подачи звукового сигнала, отправки предупреждения по сети, передачи вызова на пейджер или телефон.
Для удаленного мониторинга и управления оборудованием серверной комнаты существует два основных способа связи: по локальной сети или с использованием интернета. Во всех этих случаях запущенная на сервере программа регистрирует и передает на устройство администрирования показатели подключенного к ней оборудования. Контроль и управление со стороны администратора осуществляется посредством удаленной рабочей станции, которая либо уже оснащена специализированной программой, либо приложение загружается при получении доступа на сервер.
Однако не стоит забывать и о дополнительных мерах по защите ценной информации и дорогостоящего оборудования серверных комнат. Ограничить несанкционированный доступ в защищенную комнату можно при помощи кодовых замков. В некоторых случаях рекомендуется установка датчиков слежения и контроля дверей в самом помещении. Система электропитания также должна быть скрыта от посторонних глаз. Стоит обратить внимание на фальшполы и фальшпотолки в здании: стены защищенной комнаты должны доходить до реальных конструкций.
Не лишним будет ввести систему регистрации как физического доступа к серверу, так и удаленного пользования. Введение многоступенчатой системы паролей доступа к серверу, а также блокировка неиспользуемых портов и разъемов во многом обезопасят информацию1.
Таким образом, создание современной защищенной серверной комнаты с соблюдением всех необходимых условий, позволит повысить требования к надежности и производительности IT-системы при низком уровне информационных рисков. При этом высокая степень физической безопасности всего комплекса ИТ-оборудования исключит возможность дальнейших непредвиденных финансовых затрат.
4 Психологические аспекты информационной безопасности организации
На всех стадиях информационного процесса ведущая роль принадлежит человеку - носителю, пользователю информации и знания. От того, как будут учтены в информационных процессах интересы, психологические установки, свойства личности, зависит эффективность использования информации.
Если учесть определяющую роль информации в системе ресурсного обеспечения бизнеса (кто владеет информацией - тот владеет всем), то становится понятна та роль, которая отводится информационной безопасности любого предприятия.
Здесь используются экономико-психологические методы обеспечения безопасности бизнеса и технико-технологические методы защиты информационных сетей.
Условия формирования системы экономической безопасности фирмы:
1. Четкое определение понятия «система экономической безопасности» (что делать?). Обеспечивать экономическую безопасность - значит осуществлять постоянную деятельность по выявлению, предупреждению, локализации и нейтрализации угроз и сведению к минимуму ущерба от реализации угроз различного характера.
2. Учет мнений и позиций собственника, акционеров, топ-менеджмента (для кого делать?). Мнения этих категорий лиц далеко не всегда совпадают.
3. Соблюдение принципов и алгоритма формирования системы экономической безопасности фирмы (как это делать?). В основе суждение: любое действие, нарушающее нормальное функционирование организации, понимается как угроза экономической безопасности фирмы2.
Как на практике реализуются меры информационной безопасности с учетом конкретных ситуаций? Приведем ряд примеров.
Отмечено, что причина утечки информации чаще всего происходит в результате небрежности первых лиц организации. Например, в частных фирмах более 75 % ответственных сотрудников, принимая посетителей, не считают необходимым убирать конфиденциальные документы со стола или же выключать компьютер. Это приводит к потере до 30 % оперативной информации.
По данным опроса, 75 % руководителей крупных предприятий хорошо знают об увеличении возможности утечки информации при использовании современных множительных средств типа ксерокса. Тем не менее, копирование материала в 53,6 % случаев происходит в режиме самообслуживания, в 32,7 % - оператором по устной просьбе служащего и только в 13,5 % случаев оператор делает копии под расписку или по письменному заказу.
По данным исследования, проведенного итальянскими психологами, только 25 % служащих фирмы - действительно надежные люди, еще столько же ожидают удобного случая для разглашения секретов, а 50 % будут действовать в зависимости от обстоятельств3.
В США компьютерные преступления совершаются, как правило, служащими, допущенными к работе с информационными системами. Клерки, администраторы и управляющие виновны в них чаще, чем профессиональные программисты.
Зафиксирован ряд случаев, когда программисты закладывали в информационную систему «логическую бомбу» на случай форс-мажорных обстоятельств, значимых для них. При наступлении указанных обстоятельств «бомба» стирает весь массив информации и самоликвидируется. Доказать вину в суде практически невозможно.
По мнению исследователей, для создания атмосферы информационной безопасности наиболее эффективны меры, связанные с повышением информационной культуры на предприятии.
Необходимо формировать четкую целевую установку на повышение надежности и ответственности в вопросах защиты информации. Так, во многих американских фирмах действует двухуровневая система защиты информации. Первый уровень.— обеспечение информационной безопасности силами спецслужб, второй - культивирование атмосферы бдительности и ответственности с помощью так называемых координаторов, назначаемых из служащих среднего звена.