Назад к Блогу

Уровни информационной безопасности современных компаний — заказчиков аутсорсинга


Колодеева Светлана
Колодеева Светлана
25.09.2014

Информационная безопасность предполагает определение методов и способов защиты жизненно важной информации, создание основ для формирования государственной политики информационной безопасности, развития информационного пространства страны.

Обязательными условиями создания такой безопасности являются:

  • разработка соответствующей нормативной базы, развитие и совершенствование системы сертификации систем и средств защиты информации, программных и аппаратно-программных средств;
  • воссоздание системы органов контроля состояния информационной безопасности на предприятиях и контроль их деятельности со стороны государства;
  • создание благоприятных условий для предприятий, организаций и налаживания производства отечественных средств защиты информации,
  • создание системы подготовки научных кадров в области защиты информации;
  • совершенствование системы подготовки и переподготовки кадров для работы в сфере информационной безопасности;
  • урегулирование отношений в области использования Internet, создание системы информационной безопасности, способной обеспечить должный уровень ее защищенности в условиях постоянного усовершенствования возможностей технических разведок и средств ведения информационных войн, ведение государственного контроля за разработкой отечественных и ввоз импортных средств вычислительной техники и пр.

Для создания эффективной системы информационной безопасности предпринимательской деятельности необходимо:

  1. Осуществлять контроль вероятных каналов утечки информации на предприятии.
  2. Осуществлять мониторинг доступа сотрудников к корпоративным информационным ресурсам.
  3. Хранить архив операций с документами.
  4. Обнаруживать в исходном потоке электронной почты, которые могут предвидеть угрозу утечки конфиденциальной информации.
  5. Обнаруживать в исходном НТТР-потоке данных, которые могут предвидеть угрозу утечки конфиденциальной информации.
  6. Контролировать использование мобильных устройств хранения информации, устройств передачи информации и коммуникативных портов.
  7. Архивировать почтовую корреспонденцию.
  8. Осуществлять мониторинг на уровне файловых операций.
  9. Контролировать деятельность сотрудников, доступ и использование ими только той информации, которая нужна для работы.
  10. Обеспечить правильный подбор кадров, применение материальных и моральных стимулов, создание благоприятного социально-психологического климата внутри организации, создание возможностей для профессионального роста, снижение текучести кадров.

Только своевременное и комплексное выполнение всех этих задач может привести к желаемому результату. Например, обязательное использование некоторых средств идентификации и аутентификации объектов и субъектов, средств резервного копирования, антивирусного контроля и т.д. Режим информационной безопасности в подобных системах обеспечивается:
- на административном уровне — политикой безопасности предприятия, в которой сформулированы цели в области информационной безопасности и способы их достижения; на процедурном уровне — путем разработки и выполнения разделов инструкций для персонала, посвященных информационной безопасности, а также мерами физической защиты;
- на программно-техническом уровне — применением апробированных и сертифицированных решений, стандартного набора контрмер: резервного копирования, антивирусной и парольной защиты, межсетевых экранов, шифрования данных и т.д.

Таким образом, режим информационной безопасности на уровне предприятия должен охватывать:
- организационные составляющие (разработка положения об информационной безопасности с определением целей информационной безопасности и способов их достижения, закрепления уровней доступа к информации, в том числе, с ограниченным доступом (конфиденциальной), порядок выдачи личных кодов, карт, паролей доступа к определенным участкам и носителей информации, контроль за входом и составление отчета рабочего времени, ознакомление их с правилами обращения с конфиденциальной информацией и ответственностью за ее санкционированное и несанкционированное разглашение персоналом предприятия);
- программно-технические составляющие (обязательное использование средств идентификации и аутентификации объектов и субъектов, средств резервного копирования, антивирусной и парольной защиты, межсетевых экранов, шифрования данных и т.д.).

Мероприятия по обеспечению информационной безопасности, с одной стороны, должны быть направлены на охрану конфиденциальной информации (в частности, устранения “жучков”, предотвращение несанкционированного доступа в локальных компьютерных сетей), с другой — обеспечивать поиск данных о конкурентах, партнерах, контрагентах, которые служат предотвращению возникновения возможных рисковых ситуаций в деятельности субъекта хозяйствования, вызванных недобросовестной конкуренцией, рейдерскими схемами захвата бизнеса и т.д.

Рекомендации заказчиков