Информационно-аналитическое обеспечение безопасности бизнеса

Содержание:
Введение
Информационно-аналитическое обеспечение безопасности бизнеса
Заключение
Список используемой литературы:

Информационно-аналитическое обеспечение безопасности бизнеса

• международные, отраслевые,
и внутренние стандарты
Реализация:
• методы взаимодействия
с внешней и внутренней средой
• методы работ
• анализ рисков
• методы разработки, внедрения, эксплуатации и сопровождения
• обучение
Это качественное определение включает нужное достаточное условие безопасности. При этом не определяется, какие устройства и каким образом реализуют безопасность — практическая реализация зависит от многих факторов: вида и размера бизнеса, предметной области деятельности компании, типа информационной системы, степени ее распределенности и сложности, топологии сетей, используемого программного обеспечения и т.д. В данном случае можно говорить об уровне доверия, или надежности систем, давая оценку по двум ключевым критериям.
1. Существование и полнота политики безопасности — комплект внешних и корпоративных стандартов, правил и норм поведения, отвечающих законодательным актам страны и регламентирующих сбор, обработку, распространение и защиту информации. В частности, стандарты и правила определяют, в каких случаях и каким образом пользователь имеет право оперировать с конкретными наборами данных. В политике сформулированы права и ответственности пользователей и персонала отделов информационной безопасности, разрешающие отдавать предпочтение механизмам защиты безопасности системы. Политика безопасности - это функциональный элемент защиты, содержащий в себе рассмотрение вероятных угроз и рисков, выбор критериев противодействия и методологию их использования. Если информационная система качественная, и она имеет много «входов» и «выходов» (распределенная система), то детализированнее и разнообразнее должна быть политика безопасности.
2. Гарантированность безопасности — мера доверия, оказываемая архитектуре, инфраструктуре, программно-аппаратной реализации системы и способам управления ее формой и единством. Гарантированность может происходить как из тестирования и верификации, так и из проверки совокупного замысла и реализации системы в целом и ее элементов. Гарантированность представляет, насколько корректны устройства, отвечающие за проведение в жизнь политики безопасности. Гарантированность является пассивным, но очень существенным элементом защиты, исполненным особенностью разработки, внедрения, эксплуатации и поддержания информационной системы и заложенных принципов безопасности.
Теория гарантированности является основной при оценке уровня защиты, с которой информационную систему можно считать надежной. Надежность обеспечивается всей базой защитных устройств системы в целом и надежностью основы системы, отвечающих за проведение в существование политики безопасности. Надежность вычислительной базы определяется ее реализацией и корректностью исходных данных, вводимых административным и операционным персоналом. Компоненты вычислительной базы могут не быть абсолютно надежными, однако это не должно влиять на безопасность системы в целом.
Основное направление надежной вычислительной системы - осуществлять функции монитора обращений и операций, т.е. проверять допустимость выполнения пользователями установленных операций над предметами. Монитор контролирует каждое обращение к программам или данным на тему их слаженности со списком вероятных операций. Таким образом, важным средством обеспечения безопасности является механизм подотчетности или протоколирования. Надежная система должна фиксировать все события, касающиеся безопасности, а ведение протоколов дополняется аудитом — анализом регистрационной информации.
Эти общие утверждения являются базой для проектирования и исполнения безопасности открытых информационных систем.2
Основными вопросами предоставления безопасности предприятия являются разработка качественной стратегии предоставления безопасности и целесообразная организация процессов по ее осуществлению. Все чаще успеха достигают те предприятия, у которых службы экономической безопасности состоят из специалистов высшей квалификации, и более тесно сотрудничают со спецслужбами и правоохранительными органами, иными государственными структурами. Однако, несмотря на актуальность повышения качества и эффективности работы службы безопасности в условиях конкуренции, на большинстве предприятий эти службы ограничивают свою деятельность выполнением, в основном, функций по физической охране имущества и сотрудников. Из-за невысокого качества законного и научного предоставления экономической безопасности в России портятся не только показатели по некоторым видам безопасности, но и совершается стремительными темпами отток за границу умственного и финансового капитала. В конечном счете, это снижает конкурентоспособность страны и качество жизни россиян.
Отличительными чертами сов­ременного бизнеса являются его укрупнение и глобализация, соп­ровождающиеся усложнением задач управления и повыше­нием необходимости своевре­менного принятия экономически обоснованных решений в усло­виях изменчивой внешней среды. Принимаемые решения должны основываться на достоверной, текущей и прогно­зируемой информации, анализе всех факторов, оказывающих влияние на решения, с учетом предвидения их возможных последствий. Решение таких вопросов требует свежих подходов к информационно-аналитическому обеспечению управленческой деятельности, применению адекватных нынешнему уровню технологического и экономического вырабатывания взглядов и методов консалтинговой деятельности.
Экономическая безопасность предприятия формируется из нескольких конструктивных элементов, которые для всякого конкретного предприятия могут иметь всевозможные приоритеты в зависимости от характера имеющихся опасностей. Основным фактором, определяющим состояние экономической безопасности является обладание предприятием устойчивыми конкурентными преимуществами, соответствующими стратегическим целям предприятия. При этом характерной чертой обеспечения экономической безопасности является тот факт, что такая деятельность представляет собой непрерывный процесс, который вбирает в себя обоснование и реализацию рациональных форм, методов, способов создания системы экономической безопасности, ее развитие и совершенствование. Экономическая безопасность может быть обеспечена при комплексном применении всего арсенала средств защиты во всех структурных элементах производственной системы и на всех этапах ее деятельности. Максимальный эффект достигается тогда, когда все применяемые средства, методы и операции соединяются в единственный целостный механизм - систему защиты экономических интересов.
Итак, план обеспечения экономической безопасности предмета представляет собой целый организационно-технический комплекс, в процессе вырабатывания которого разрабатывается теория обеспечения безопасности предмета или политика безопасности. Ее основу составляет перечень обязательных мероприятий, направленных на выработку плана действий по защите компании:
- определение задач и мероприятий которые необходимо провести в компании для создания системы экономической безопасности.
- установление состава службы безопасности или организации - аутсорсера на каковую можно возложить предоставление экономической безопасности. Если принято решение об организации собственной службы безопасности, то необходимо установить место службы безопасности в организационной структуре предприятия, поле деятельности ее компетенции, права и полномочия, варианты мероприятий в различных обстоятельствах во избежание конфликтов между подразделениями.
Политика экономической безопасности формируемая для организации предопределяет правильную с точки зрения организации схему применения коммуникационных и вычислительных ресурсов, правила доступа на объект, правила обращения с доверительной информацией, а также операции предотвращения нарушений системы безопасности и реагирования на них.
Конечно, все ключевые положения политики безопасности обязаны быть фиксированы в надлежащих распорядительных документах, состав и содержание которых определяются спецификой объекта. Но, как правило, ни одна организация не сможет обойтись без положения о коммерческой тайне, положения о защите информации, об администраторе безопасности сети, правил, разграничивающих доступ к информации, содержащейся в автоматизированных системах, правила допуска персонала и посетителей в помещения, где производится обработка критичной информации, порядка проведения служебного расследования по факту нарушения правил безопасности, положения о промышленной безопасности.
Данный комплект документов должен устанавливать функции, нужные для организации работы службы безопасности, а также контрольно-проверочные и другие особые функции, исполняемые ею в течении деятельности. Основными функциями могут являться:
административно-распорядительная - разработка решений по обслуживанию режима безопасности и конфиденциальности; утверждение положений, прав, обязанностей и ответственности должностных лиц по проблемам безопасности, а также реализация представительских функций предприятия в области безопасности;
хозяйственно-распорядительная - установление ресурсов, нужных для того, чтобы решить проблемы по обеспечению безопасности организации, подготовки и проведения действий организационно-технического и правового характера, адресованных на сохранность собственности, в том числе интеллектуальной;
учетно-контрольная - установление значительных направлений финансово-экономической, производственно-коммерческой и других разновидностей деятельности, подлежащих защите, оценка источников их возникновения; организация проверки;
планово-производственная - формирование комплексов и отдельных программ обеспечения безопасности предприятия, подготовка и проведение должных операций;
научно-методическая - накопление и распространение нового опыта в области обеспечения безопасности; организация обучения сотрудников других подразделений Компании (в необходимом им объеме);
информационно-аналитическая - сбор, накопление и обработка данных, относящихся к сфере безопасности, создание и использование необходимых для этого технических и методических средств.
Подобным образом, начальник службы безопасности предприятия, должен располагать обширным комплектом компетенций для выполнения порученных ему обязанностей.3
Опираясь на все сказанное, следует иметь в виду, что формирование службы безопасности, снабжение ее надежным инструментарием, необходимая расстановка приоритетов ее деятельности, как и всякая квалифицированная работа, требует участия в ней специалистов, имеющих соответствующую профессиональную подготовку и, что не менее важно, обладающих достаточно большим практическим опытом в этой области. Систему безопасности Компании должны создавать профессионалы, а сотрудничество с ними может быть плодотворным, только если оно долгосрочное.
При образовании сложных, распределенных информационных систем, проектировании их архитектуры, инфраструктуры, выборе компонент и связей между ними надлежит учесть помимо общих ряд характерных концепций, адресованных на предоставление безопасности функционирования:
архитектура системы должна быть довольно гибкой, т.е. должна допускать сравнительно простое, без основных структурных модифицирования, вырабатывание инфраструктуры и изменение конфигурации используемых средств, наращивание функций и ресурсов информационных систем в соответствии с расширением сфер и задач ее применения;
следует обеспечить безопасность функционирования системы при разных типах опасностей и верная защита данных от погрешностей проектирования, разрушения или утраты информации, а также авторизация пользователей, управление рабочей загрузкой, резервированием данных и вычислительных ресурсов, максимально быстрым восстановлением функционирования информационных систем;
должно быть обеспеченно комфортный, максимально упрощенный доступ пользователей к обслуживаниям и итогам функционирования информационной системы на основе нынешних графических средств, мнемосхем и наглядных пользовательских интерфейсов;
систему обязана сопровождать современная, комплектная документация, снабжающая квалифицированную эксплуатацию и вероятность развития информационных систем.
Выделим, что системы безопасности, какими бы сильными они ни были, сами по себе не могут гарантировать верность программно-технической степени защиты. Только проверенная архитектура способна сделать эффективным объединение сервисов, обеспечить управляемость информационной системы, ее способность развиваться и противостоять новым угрозам при сохранении таких свойств, как высокая производительность, простота и удобство использования.
С практической точки зрения предоставления безопасности наиболее существенными являются вытекающие убеждения построения архитектуры информационной системы:
проектирование информационной системы на принципах открытых систем, следование признанным стандартам, использование апробированных решений, иерархическая организация информационных систем с небольшим числом сущностей на каждом уровне — все это способствует прозрачности и хорошей управляемости информационной системой;
беспрерывность защиты в пространстве и времени, неосуществимость преодолеть защитные средства, исключение самопроизвольного или вызванного перехода в небезопасное состояние - при любых обстоятельствах, в том числе нештатных, защитное средство либо целиком выполняет свои функции, либо целиком блокирует доступ в систему или ее часть;
усиление самого слабого звена, минимизация привилегий доступа, разделение функций обслуживающих сервисов и обязанностей персонала. Предполагается такое распределение ролей и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс или создать брешь в защите по неведению или заказу злоумышленников. Применительно к программно-техническому уровню принцип минимизации привилегий предписывает выделять пользователям и администраторам только те права доступа, которые необходимы им для выполнения служебных обязанностей. Это позволяет уменьшить ущерб от случайных или умышленных некорректных действий пользователей и администраторов;
эшелонирование обороны, разнообразие защитных средств, простота и управляемость информационной системы и системой ее безопасности. Принцип эшелонирования обороны предписывает не полагаться на один защитный рубеж, каким бы надежным он ни казался. За средствами физической защиты должны следовать программно-технические средства, за идентификацией и аутентификацией - управление доступом, протоколирование и аудит. Эшелонированная оборона способна не только не пропустить злоумышленника, но и в не которых случаях идентифицировать его благодаря протоколированию и аудиту. Принцип разнообразия защитных средств предполагает создание различных по своему характеру оборонительных рубежей, чтобы от потенциального злоумышленника требовалось овладение разнообразными и, по возможности, несовместимыми между собой навыками.
Очень существенен общий принцип незамысловатости и управляемости информационной системы в целом и защитных средств в особенности. Только в простой и управляемой системе можно проверить согласованность конфигурации различных компонентов и осуществлять централизованное администрирование. В этой связи важно подметить интегрирующую роль Web-сервиса, скрывающего многообразие обслуживаемых объектов и дающего единый, наглядный интерфейс. Соответственно, если объекты некоторого вида (например, таблицы базы данных) доступны через Интернет, необходимо заблокировать прямой доступ к ним, поскольку в противном случае система будет уязвимой, сложной и плохо управляемой.4
Продуманная и упорядоченная структура программных средств и баз данных, топология внутренних и внешних сетей непосредственно отражается на достигаемом качестве и безопасности информационной системы, а также на трудоемкости их разработки. При строгом соблюдении правил структурного построения значительно облегчается достижение высоких показателей качества и безопасности, так как сокращается число возможных ошибок в реализующих программах, отказов и сбоев оборудования, упрощается их диагностика и локализация. В хорошо структурированной системе с четко выделенными компонентами (клиент, сервер приложений, ресурсный сервер) контрольные точки выделяются достаточно четко, что решает задачу доказательства достаточности применяемых средств защиты и обеспечения невозможности обхода этих средств потенциальным нарушителем.
Высокие требования, предъявляемые к созданию архитектуры и инфраструктуры на этапе проектирования информационной системы, обусловливаются тем, что именно на этом этапе можно в большей степени минимизировать число уязвимостей, соединенных с невольными дестабилизирующими факторами, которые влияют на безопасность программных средств, баз данных и систем коммуникации.