Информационная безопасность предполагает определение методов и способов защиты жизненно важной информации, создание основ для формирования государственной политики информационной безопасности, развития информационного пространства страны.
Обязательными условиями создания такой безопасности являются:
- разработка соответствующей нормативной базы, развитие и совершенствование системы сертификации систем и средств защиты информации, программных и аппаратно-программных средств;
- воссоздание системы органов контроля состояния информационной безопасности на предприятиях и контроль их деятельности со стороны государства;
- создание благоприятных условий для предприятий, организаций и налаживания производства отечественных средств защиты информации,
- создание системы подготовки научных кадров в области защиты информации;
- совершенствование системы подготовки и переподготовки кадров для работы в сфере информационной безопасности;
- урегулирование отношений в области использования Internet, создание системы информационной безопасности, способной обеспечить должный уровень ее защищенности в условиях постоянного усовершенствования возможностей технических разведок и средств ведения информационных войн, ведение государственного контроля за разработкой отечественных и ввоз импортных средств вычислительной техники и пр.
Для создания эффективной системы информационной безопасности предпринимательской деятельности необходимо:
- Осуществлять контроль вероятных каналов утечки информации на предприятии.
- Осуществлять мониторинг доступа сотрудников к корпоративным информационным ресурсам.
- Хранить архив операций с документами.
- Обнаруживать в исходном потоке электронной почты, которые могут предвидеть угрозу утечки конфиденциальной информации.
- Обнаруживать в исходном НТТР-потоке данных, которые могут предвидеть угрозу утечки конфиденциальной информации.
- Контролировать использование мобильных устройств хранения информации, устройств передачи информации и коммуникативных портов.
- Архивировать почтовую корреспонденцию.
- Осуществлять мониторинг на уровне файловых операций.
- Контролировать деятельность сотрудников, доступ и использование ими только той информации, которая нужна для работы.
- Обеспечить правильный подбор кадров, применение материальных и моральных стимулов, создание благоприятного социально-психологического климата внутри организации, создание возможностей для профессионального роста, снижение текучести кадров.
Только своевременное и комплексное выполнение всех этих задач может привести к желаемому результату. Например, обязательное использование некоторых средств идентификации и аутентификации объектов и субъектов, средств резервного копирования, антивирусного контроля и т.д. Режим информационной безопасности в подобных системах обеспечивается:
- на административном уровне — политикой безопасности предприятия, в которой сформулированы цели в области информационной безопасности и способы их достижения; на процедурном уровне — путем разработки и выполнения разделов инструкций для персонала, посвященных информационной безопасности, а также мерами физической защиты;
- на программно-техническом уровне — применением апробированных и сертифицированных решений, стандартного набора контрмер: резервного копирования, антивирусной и парольной защиты, межсетевых экранов, шифрования данных и т.д.
Таким образом, режим информационной безопасности на уровне предприятия должен охватывать:
- организационные составляющие (разработка положения об информационной безопасности с определением целей информационной безопасности и способов их достижения, закрепления уровней доступа к информации, в том числе, с ограниченным доступом (конфиденциальной), порядок выдачи личных кодов, карт, паролей доступа к определенным участкам и носителей информации, контроль за входом и составление отчета рабочего времени, ознакомление их с правилами обращения с конфиденциальной информацией и ответственностью за ее санкционированное и несанкционированное разглашение персоналом предприятия);
- программно-технические составляющие (обязательное использование средств идентификации и аутентификации объектов и субъектов, средств резервного копирования, антивирусной и парольной защиты, межсетевых экранов, шифрования данных и т.д.).
Мероприятия по обеспечению информационной безопасности, с одной стороны, должны быть направлены на охрану конфиденциальной информации (в частности, устранения “жучков”, предотвращение несанкционированного доступа в локальных компьютерных сетей), с другой — обеспечивать поиск данных о конкурентах, партнерах, контрагентах, которые служат предотвращению возникновения возможных рисковых ситуаций в деятельности субъекта хозяйствования, вызванных недобросовестной конкуренцией, рейдерскими схемами захвата бизнеса и т.д.