Обобщение и анализ основных проблем информационной безопасности на предприятии

Тип работы:
Реферат
Предмет:
Общие и комплексные проблемы технических и прикладных наук и отраслей народного хозяйства


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Таблица 1. Формирование типоразмеров тракторных комплектов
Типоразмер трактора Марка рыхлительного и бульдозерного оборудования Типоразмер комплекта
T-130 ДП-5С Т-130+ ДП-5С
(Д-515С) Т-130 + (Д-515С)
ДП-26С Т-130+ ДП-26С
(ДЗ-117) Т-130 + (ДЗ-117)
T-180 ДП-22С Т-180 + ДП-22С
(ДЗ-Э5С) Т-180 +(ДЗ- 35С)
ДП- 1С Т-180 + ДП- 1С
ДЗ-121 Т180 +(Д- 576С)
Литература:
1. Могорян В. И. Эффективность использования машинно-тракторного парка. (2-е перераб. и доп. из.) М.: «Колос», 1977. — 272с. ],
2 Оптимизация машинно-тракторного парка. Сборник научных трудов. — М: ТСХА, 1990. -105с.
3. Уваров В. Ф. Технологическое проектирование комплектов земляных работ. — Владикавказ, 2007.
4. Хабатов Р. Ш., Осадчий В. К. Оптимизация состава МТП по энергетическим и стоимостным критериям// Оптимизация машинно-тракторного парка. Сборник научных трудов. М.: Изд. ТСХА, 1990. — с. 3-
ОБОБЩЕНИЕ И АНАЛИЗ ОСНОВНЫХ ПРОБЛЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ
Стойлик Ю. Б., д.т.н., профессор, член Научно-технического совета Российского речного Регистра Министерства транспорта
Российской Федерации
Щучкин А. Е., главный специалист по защите информации ФБУ «Центральная клиническая больница гражданской авиации»
Обобщены и проанализированы основные проблемы, возникающие при обеспечении информационной безопасности на предприятии. Рассмотрены возможные пути их решения.
Ключевые слова: информационная безопасность- квалификация сотрудников- предприятие- защита информации- утрата информации- планирование работ, требования законодательства, техническая оснащенность, сохранность данных, финансирование.
SUMMARIZING OF COMMON PROBLEMS OF THE ENTERPRISE INFORMATION
SECURITY
Stoylik Y., doctor of technical sciences, Professor, member of the NTS of the Russian River Register Shchuchkin A., Chief Information Security Specialist FBU «Central Clinical Hospital of Civil Aviation»
We summarize common problems that appear in implementing the enterprise information security. Possible ways of solving these problems are considered.
Keywords: Information security, qualification of employees, enterprise, data protection, data loss, work planning, legal requirements, technical equipment, data security, financing.
В XXI веке значительно выросло количество информации, использование и обработка которой является необходимым условием для нормального функционирования предприятия любого уровня. Одной из критически важных позиций в практике работы предприятия является соблюдение правил информационной безопасности (ИБ) при работе с информацией. В широком смысле под ИБ будем понимать обеспечение законных интересов субъекта в информационной сфере, в узком (конкретном) смысле под ИБ предприятия будем понимать состояние (свойство) системы управления предприятием, обеспечивающее контроль информационных потоков, процессов и систем обработки данных и защиту от воздействия на них внешних и внутренних факторов.
Осознание необходимости обеспечения ИБ, повышение информированности о характере проблем, возникающих при обработке
информации, в том числи при обработке ее в информационных системах является необходимым фактором повышения эффективности и стабильности работы, снижения материальных затрат и увеличения возможностей внедрения, развития и интеграции в существующую систему качественно новых сервисов.
Ключевым условием для решения проблем ИБ на предприятии является желание руководства вносить изменения в существующую практику работы с информацией, понимание характера проблем, причин их возникновения и путей решения. В этой связи крайне необходимым представляется привлечение к работе по созданию и внедрению политики ИБ квалифицированных специалистов, повышение уровня квалификации уже существующих, рациональная организация процесса обеспечения ИБ на предприятии.
Обеспечение защиты информации (ЗИ) на каждом предприятии
36 TRANSPORT BUSINESS IN RUSSIA | № 6(II) 2014 |
имеет ряд особенностей, что обусловливается характером деятельности предприятия, особенностями сложившийся практики и требованиями действующего законодательства [1].
Анализ процессов обеспечения ИБ на предприятиях различного типа позволяет выявить некоторые общие, присущие этим процессам проблемы, разрешение которых является важным условием эффективного функционирования предприятия. Сделаем попытку обобщения и анализа этих проблем.
Первая проблема. Недостаточная информированность (а часто и просто незнание или недооценка вопроса) руководителя о наличии и характере проблем в сфере ИБ на руководимом им предприятии.
Такая ситуация складывается из-за специфического характера сведений, которым должен обладать человек, рассматривающий данные вопросы- стремительного развития информационных технологий и также в связи с особенностями современного законодательства и постоянно меняющихся требований к защите информации. Для грамотного понимания задач обеспечения ИБ руководителю рекомендуется пройти хотя бы минимальных курс обучения по ИБ. Руководитель не обязательно должен знать все о защите информации, но понимать основные задачи он обязан.
В процессе информирования руководителя о ИБ целесообразно рассмотреть следующие вопросы:
— общее представление о характере работы сотрудников, отвечающих за работу с информацией, и необходимости контролировать их деятельность-
— защита какой именно информации и сервисов наиболее важна для деятельности предприятия-
— степень уверенности в работоспособности техники, занятой ее обработкой-
— возможные последствия в случае отказа техники, потери данных и прекращения работы сервисов-
— уровень квалификации сотрудников, работающих в сфере обеспечения ИБ предприятия-
— требования законодательства в области защиты информации к предприятию и последствия их невыполнения.
Следует отметить, что первая проблема является не только первой в порядке очередности изложения, но и ключевой с точки зрения возникновения других проблем, о которых пойдет речь ниже, а также возможным путям их разрешения.
Вторая проблема. Отсутствие ответственного лица на предприятии за обеспечение ИБ (ОЛИБ) и, как следствие, недостаточный контроль за этим важным процессом.
Наличие ОЛИБ определяется требованиями действующего законодательства. Это лицо может быть предусмотрено штатным расписанием или определено приказом по предприятию из числа сотрудников службы ИБ, если таковая существует, или из сотрудников, которые согласно должностным инструкциям могут контролировать деятельность ИТ-подразделения. Назначение ОЛИБ из числа сотрудников ИТ не противоречит действующему законодательству, однако в этом случае частично утрачивается функция контроля. Здесь не ставится задача полностью определить функции ОЛИБ, отметим лишь отдельные важные моменты.
ОЛИБ должно отвечать за состояние ИБ на предприятии, регулярно собирать, обобщать и анализировать информацию о ИБ на предприятии вообще и ЗИ в частности, осуществлять документальное сопровождение и регулярно информировать руководство о состоянии дел по вопросам ИБ на предприятии.
Весьма существенным элементом функций ОЛИБ является разработка системы и правил наказаний за нарушения правил ИБ (отсутствие такой системы является характерным для большинства действующих предприятий). Документ должен быть утвержден руководителем предприятия, выполнение его должно оперативно контролироваться ОЛИБ, а предложения по его реализации регулярно докладываться руководителю для принятия решений.
ОЛИБ должен регулярно проходить переобучение и информировать руководство о последних важных тенденциях в этом вопросе, особенно изменениях в области законодательства.
Целесообразно в его функции включить проведение классификации информации, приходящей, генерируемой, хранящейся на предприятии, исходя из следующих критериев:
— информация, утрата или искажение которой критически важно для работы предприятия и утрата которой может привести к значительным материальным потерям или полной остановке деятельности-
— информация, восстановление которой может привести к значительным временным потерям-
— информация, утрата которой не повлечет за собой критических последствий, но наличие которой облегчает текущую деятельность организации-
— излишняя информация.
Указанная классификация должна проводиться регулярно совместно с сотрудниками основных подразделений. Рассматривая вопрос о ЗИ, часто забывают о том, что не только данные важны сами по себе, но и сервисы, занятые в их обработке. Что толку от наличия данных в базе данных, если доступ к ней отсутствует? Что произойдет, если не работает Интернет? Что произойдет в случае чрезвычайной ситуации, пожара или кражи?
Для информации, например, финансового характера, как правило, существуют копии на бумажных носителях, что дает возможность ее полного или частичного восстановления в случае потери данных в электронном виде. Но затраты на восстановление и временные потери в этом случае, как правило, весьма значительны.
Потеря контактов, архивных данных, старых проектов и черновиков и прочее не повлечет за собой значительных проблем в текущей деятельности организации, но наличие ее и доступность несомненно повысит эффективность работы сотрудников.
Посторонней информации, такой как информация личного и развлекательного характера, а особенно информации, распространение которой ограничено законодательством, в информационных системах предприятия быть не должно.
Третья проблема. Недостаточное планирование и нерегулярное проведение аудита.
Важно отметить, что в области обеспечения ИБ нет законченных действий. Обеспечение И Б — это непрерывный процесс, за качеством которого должен быть постоянный мониторинг. Важная функция ОЛИБ — это осуществление контроля и приближение уровня информированности руководства о процессе обеспечения ИБ к оптимальному. Поэтому в плане должны быть четко разграничены участки работ, назначены ответственные за выполнение каждого пункта плана, проставлены сроки и указаны необходимые условия его выполнения. Обязательным является обсуждение плана работ с сотрудниками в части, их касающейся. Часто встречается ситуация, когда даже грамотно составленный план не может быть выполнен в силу объективных или субъективных причин, а руководство не было вовремя проинформировано о проблемах с его выполнением. Стандартным средством решения подобной ситуации является создание постоянно действующей комиссии, с включением в нее руководителей и компетентных специалистов всех заинтересованных подразделений.
Для начала планирования работ по обеспечению ИБ обязательным элементом является проведение аудита. В рамках аудита должны быть проведены проверки по логистике производственной деятельности, оценка работоспособности и степени изношенности комплексов обработки информации, инвентаризация техники, наличие обязательной документации, выявлены узкие места и оценена политика резервирования критически важных данных и сервисов, а также эффективность использования ресурсов. В большинстве случаев, после проведенной инвентаризации, предприятие получает возможность ввести в действие неиспользуемые или более эффективно использовать существующие ресурсы без значительного увеличения финансирования. Кроме того, анализ выявленных проблем позволяет осуществить грамотное планирование по их устранению.
Следующие вопросы возникают при планировании действий по обеспечению ИБ на среднестатистическом предприятии наиболее часто:
1. Наличие централизованного доступа к данным, обмену файлами, электронному документообороту. Как организованы права доступа?
2. Как контролируется интернет-трафик? Каким образом осуществляется контроль и защита интернет-канала? Используются ли сертифицированные методы защиты? Каким образом службы ИТ и ИБ реагируют на нарушения?
3. Где хранятся значимые данные конкретного пользователя. Кто отвечает за их сохранность?
4. Имеется ли на предприятии корпоративная почта? Обязательно должен быть контроль входящей и исходящей переписки. Использование сторонних бесплатных сервисов для служебного пользования недопустимо.
ТКЛШРОКТ БШШБББ Ш КШБТЛ | № 6(11) 2014 | 37
5. Может ли сотрудник самостоятельно устанавливать программное обеспечение (ПО) на своем компьютере? ПО на локальных и особенно сетевых компьютерах должен устанавливать только сотрудник ИТ-подразделения. ПО должно быть стандартизовано, специфическое ПО устанавливается по служебной записке с ведома сотрудника ИБ.
6. Каким образом осуществляется политика создания, хранения и использования административных паролей? На предприятии должна существовать политика распределения доступа, в том числе к служебным и административным паролям. Ситуация, когда административные пароли становятся известными неограниченному кругу лиц, недопустима.
7. Делаются ли копии важных данных, баз данных? Где? Как часто? Каким образом? Как они проверяются? Копии важных данных должны быть не только актуальны, но и пригодны к использованию. Необходимо регулярно осуществлять проверку архивных данных.
8. Есть ли на предприятии системный администратор? Какие именно функции на него возложены? Кто контролирует его работу? Как организована системы планирования и отчетности его деятельности?
Ответы на эти вопросы должны являться предметом планирования и своевременно решаться.
Наличие плана и системы отчетности — обязательное условие для предприятия любой формы собственности и с любым количеством сотрудников. Однако в зависимости от сферы деятельности и величины предприятия к системе планирования и отчетности предъявляются разные требования. В небольших организациях, где руководитель имеет возможность получать актуальную информацию о состоянии дел непосредственно от сотрудников, нет нужды в подробных письменных отчетах, достаточно проводить еженедельные собрания. На предприятиях с многоступенчатой структурой управления требования ужесточаются, вплоть до ежедневных отчетов и ведения подробных журналов работ. На каждом уровне (группа, отдел, управление и т. д.) производится анализ поступающей информации и выборка по важности и актуальности для предоставления на вышестоящий уровень. Необходимо отметить, что отчетность всегда должна соответствовать плану работ.
Четвертая проблема. Противоречия в законодательстве и требованиях регулирующих органов в сфере ИБ предприятия.
Основной проблемой в сфере обеспечения ИБ на законодательном уровне, несмотря на принятую в 2000 году Доктрину информационный безопасности [2], является отсутствие единого плана внедрения актуальных законов и требований на ближайшие годы. К сожалению, в обществе отсутствует практика широкого обсуждения проектов законов в профессиональной среде, что приводит к большим сложностям в исполнении требований законодательства на практике. Например, требования Федерального закона «О персональных данных» 152-ФЗ [3] об уничтожении персональных данных по запросу владельца вступают с противоречия с требованиями этого же закона о резервировании информации. В сложных системах с распределенными базами данных удаление единичной информации из архивной копии без развертывания на рабочей системе чрезвычайно затруднено. К тому же, например, в системах обработки информации медицинского характера (электронная история болезни) уничтожение архивной информации о пациенте может привести к угрозе жизни и здоровью пациента при его экстренном повторном обращении в медицинское учреждение. Есть противоречия и при подписании согласия пациента на обработку его персональных данных. Пациент в любое время может отказаться от его подписания. Медицинское упреждение, со своей стороны, не имеет права обрабатывать данные пациента без его согласия, а при современном уровне развития техники не имеет возможности производить полноценное лечение без этой обработки. Таким образом, в большинстве подобных случаев медицинские учреждения вынуждены идти на нарушения в интересах здоровья пациентов.
Требования законодательства в области ЗИ по большей части вполне логичны и помогают осуществлять ИБ на предприятии. К сожалению, на сегодняшний момент в законах в области ЗИ присутствует ряд противоречий, которые не позволяют выполнить требования закона безусловно. В связи с этим при разработке комплекта документации для системы ИБ предприятия необходимо привлекать компетентных специалистов, таких как юристы, работники кадровой службы, сотрудники подразделения ЗИ, а также руководителей подразделений, непосредственно осуществляющих производственную деятельность на предприятии. Вся деятельность
подразделения, отвечающего за обеспечение ИБ, должна быть строго документирована и осуществляться в соответствии с регламентирующими документами.
В законодательстве достаточно подробно расписана процедура создания основополагающих документов по ЗИ. В принципе, для первого этапа этого вполне достаточно. При этом не следует забывать, что по закону оператор обработки персональных данных самостоятельно принимает решения по защите информации и несет всю полноту ответственности за последствия [4].
Пятая проблема. Уровень квалификации сотрудников и техническая оснащенность предприятия.
Проблему уровня квалификации сотрудников можно условно разделить на три составляющих:
1) уровень квалификации руководства-
2) уровень квалификации специалистов-
3) уровень квалификации пользователей информационных систем.
В случае, если руководство в полной мере осознает проблематику и имеет опыт в постановке и решении задач, стоящих перед предприятием в области обеспечения ИБ, проблемы, как правило, не возникают. Однако, не следует забывать о том, что в силу занимаемого служебного положения руководитель может потребовать от соответствующих специалистов предоставления необходимой информации в любой удобной для него форме. В свою очередь, уровень квалификации специалиста, как правило, довольно высок. Здесь уместно говорить скорее об актуализации знаний специалиста в его профессиональной области. Поэтому прохождение регулярного обучения для специалиста является абсолютно необходимым условием.
Традиционно уровень квалификации рядового пользователя информационных систем чрезвычайно низок. Поэтому для предотвращения случаев нарушения политики и правил ИБ и с целью предотвращения конфликтных ситуаций для пользователя должны быть подготовлены подробные инструкции и разъяснения, которые должны быть доведены до него под роспись. Говорят, что пользователь всегда прав. Однако следует помнить, что мы имеем дело с системой. Требования, предъявляемые к ИТ-подразделениям и службе ИБ, способствуют, в первую очередь, работоспособности всей системы. Следовательно, от того, насколько каждый конечный пользователь будет их соблюдать, зависит и количество проблем в общем, а также уровень безопасности и даже стабильность работы самого сотрудника.
Кроме того, одним из важнейших вопросов в организации ИБ является уровень технической оснащенности предприятия. Помещения, в которых расположено активное оборудование, должны соответствовать определенным требованиям, в том числе и по безопасности, все действия с активным оборудованием и изменения информационной инфраструктуры предприятия должны строго документироваться. Особое внимание следует обращать на подбор кадров для подразделений ИТ и ИБ, поскольку доступ к информации, являющейся для организации критически важной, у данной категории сотрудников чрезвычайно облегчен в силу профессиональных особенностей их работы.
К сожалению, на практике зачастую складывается ситуация, когда серверная часть системы обработки данных расположена в не предназначенном для этого помещении, сервера устарели и выработали свой ресурс, а в то же время в бухгалтерии стоят мощные, дорогие компьютеры, многократно превышающие потребности сотрудников данного подразделения. В большинстве случаев увеличение мощности серверов, грамотное планирование структуры сети, выработка политики взаимодействия ИТ-службы и финансовых служб может значительно увеличить производительность конечного пользователя и сократить расходы на ИТ-системы в целом.
Достаточно часто типичной проблемой использования ИТ-технологий на предприятиях является разнородность данных, систем и аппаратных комплексов, находящихся в одной локально-вычислительной сети (ЛВС). Если в текущей деятельности предприятия и в плане его развития присутствует использование современных ИТ-технологий, если планируется подключать дополнительное оборудование к действующей ЛВС, то необходимо предусмотреть решение следующих вопросов, неизбежно возникающие при технологическом росте предприятия.
1. Разработаны ли правила для службы, подключающей оборудование к ЛВС предприятия?
2. Не нарушит ли включение в сети означенного оборудования
38 ТКАШРОЮТ БШШБББ Ш ЮШБТЛ | № 6(11) 2014 |
работоспособность существующих сервисов?
3. Кто отвечает за его работоспособность, как будет проводится профилактика и ремонт?
4. Каким образом и на каком уровне будут иметь доступ к нему специалисты из обслуживающей организации?
5. Кто отвечает за сохранность данных?
6. Каким образом будет произведена модернизация или перенастройка оборудования в случае изменения логистики работы сервисов ЛВС и дальнейшего развития ИТ-структур?
7. Каким образом обеспечена физическая безопасность дорогостоящего оборудования?
8. Заключены ли контракты на обслуживание с фирмами, обладающими лицензиями и компетентными специалистами, на обслуживание данной техники?
9. Существует ли в штате специалист, отвечающий за работоспособность данной техники и на каком уровне организовано взаимодействие между ним, ИТ-подразделением и службой ИБ?
Поясним некоторые из этих вопросов на примере.
Обычно оборудование поставляется на предприятие с установками по умолчанию. До тех пор, пока оно не включено в сеть, это не имеет особенного значения, но как только оно подключено, могут возникнуть конфликты с сетевой адресацией, вопросы обеспечения антивирусной безопасности, вопросы по пропускной способности сети и т. д. Поэтому такие подключения должны проводится в обязательном порядке в присутствии компетентного представителя ИТ-подразделения и в соответствии с правилами ИБ.
Системы обработки персональных данных в учреждении подлежат категорированию. Лица, ответственные за организацию обработки персональных данных, обязаны разработать ряд регламентирующих документов в организации и провести категориро-вание системы. Эта процедура достаточно подробно расписана в руководящих документах надзорных органов. Необходимо иметь в виду, что любое включение дополнительного оборудования в уже сформированную систему может повлечь за собой пересмотр существующей документации по обеспечению ИБ. Здесь обязательно нужна консультация специалиста.
Все перечисленные выше вопросы непосредственно влияют на уровень защищенности данных, поэтому они должны быть обязательно рассмотрены при построении плана развития информационных систем на предприятии.
Если сотрудники предприятия имеют доступ к конфиденциальной информации, то необходимо заключить с ними соглашение о неразглашении конфиденциальной информации. Для того, чтобы данное соглашение имело законную силу, необходимо ввести в действие положение о защите конфиденциальной информации и ознакомить с ним и с утвержденным списком конфиденциальной информации сотрудников, имеющих к ней доступ.
Довольно значимой проблемой с точки зрения ИБ при работе с данными является обеспечение уровня доступа и защиты клиентского программного обеспечения (ПО) и операционных систем (ОС). Одним из вариантов решения может выступать использование «тонких клиентов». Данное решение может в значительной мере удешевить создание информационной системы, облегчить контроль и увеличить скорость технического обслуживания аппаратных средств. Кроме того, использование «тонких клиентов» позволяет повысить гибкость развертывания системы и облегчить перемещение и модернизацию подразделений предприятия.
При выборе ОС для установки на сетевых клиентских компьютерах настоятельно рекомендуется использовать ОС, отвечающие требования для работы в корпоративной сети. Операционные системы, идущие в комплекте с закупаемыми компьютерами, как правило, не предназначены для работы, например, с контроллером домена и в них отсутствуют некоторые средства для обеспечения сетевой безопасности. Вообще, закупка и установка любого ПО, предназначенного для использования в информационных системах организации, должна производится после консультации и одобрения сотрудниками ИТ и ИБ-подразделений.
С развитием современных информационных технологий появился такой удобный вид организации обмена данными в сети как беспроводная связь. С точки зрения ИБ необходимо обратить внимание на следующие моменты.
1. Стандарты, предъявляемые к защите информации на территории РФ и зарубежных стран, отличаются в некоторых моментах весьма значительно.
2. Необходимо обязательно проверить, не повлияет ли внедрение
новых технологий на работу существующей техники.
3. Необходимо обеспечить как минимум парольную защиту для беспроводного подключения.
4. Радиус действия устройств беспроводной связи не должен выходить за периметр защищаемой зоны.
Нужно понимать, что при всем удобстве использования беспроводных технологий в организации, защищенность их и возможность контроля всегда будет ниже, чем при использовании традиционных линий связи.
Шестая проблема. Финансирование.
Традиционно, сфера ИТ-технологий и, как следствие, сфера ИБ на предприятиях финансируются по остаточному принципу. Тем не менее, нет ни одной организации, где бы после очередного инцидента не происходило резкое и срочное увеличение финансирования в какой-то отдельно взятой области, например, покупка дисковых массивов или систем технической защиты. Здесь необходимо отметить, что не величина финансирования, а его плановый характер, является наиболее важным для обеспечения бесперебойной работы предприятия. Решающим фактором здесь является своевременное предоставление соответствующими специалистами плана необходимого финансирования с обязательным указанием возможных рисков и потерь предприятия в случае его нарушения.
Таким образом, в статье проведены обобщение и анализ наиболее типичных проблем обеспечения ИБ предприятия и предложены пути их решения. Заметим, что порядок изложения проблем не определяет их значимости, за исключением первой проблемы. Удельный вес проблем ИБ определяется спецификой работы предприятия (медицинской, транспортной, производственной, торговой и т. д.), которая требует отдельного рассмотрения, не являющегося предметом данной работы.
Литература:
1. Конев И. Р., Беляев А. В. Информационная безопасность предприятия. — СПб.: БХВ-Петербург, 2003.
2. Доктрина информационной безопасности Российской Федерации (утв. Президентом Российской Федерации 09. 09. 2000 г. № Пр-1895).
2. Федеральный закон от 27. 07. 2006 г. «О персональных данных» № 152-ФЗ.
3. Постановление Правительства Российской Федерации от 01. 11. 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» N 1119.
ТКЛШРОКТ БШШБББ Ш КиББ1Л | № 6(11) 2014 | 39

ПоказатьСвернуть
Заполнить форму текущей работой