Тема 9 Информационное обеспечение системы безопасности предприятия

Современным предприятиям приходится работать в условиях информационной экономики. В этих условиях важнейшей задачей владельцев и руководителей предприятия и его системы безопасности является решение проблемы связанной с разработкой эффективной политики и стратегии информационной безопасности, а также выбором эффективных технологий, форм и методов обеспечения информационной безопасности. Решения этой проблемы в значительной мере осложнено тем, что в настоящее время темпы развития информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории Украины. В настоящее время отсутствуют основополагающие документы, регламентирующие всю деятельность по обеспечению информационной безопасности предприятия. Вследствие этого, в дополнение к требованиям и рекомендациям стандартов, Конституции, законам и иным руководящим документам необходимо использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, таких, как ISO 17799, ISO 9001, ISO 15408 и другие, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в систему обеспечение защиты информационных ресурсов и интеллектуальной властности на предприятии.

Проблема комплексного обеспечения информационной безопасности достаточно широко рассмотрена в трудах ряда отечественных и зарубежных авторов.

Однако все исследования по данной проблеме носят, как правило, односторонний характер. Авторы рассматривают данную проблему в основном только с позиции защиты информации от несанкционированного доступа. Это, безусловно, важное направление обеспечение информационной безопасности, но не решающее проблему в целом. В первую очередь недостаточное внимание уделяется другому не менее важному направлению информационной безопасности связанному с обеспечением предприятия достоверной информацией о процессах происходящих на рынке.

В условиях информационной экономики успешная деятельность в решающей степени зависит от своевременного получения информации о процессах происходящих на рынке, конкурентах, современных технологиях и инновациях, а также от уровня надежности защиты своих информационных ресурсов и интеллектуальной властности.

Для решения проблемы обеспечения информационной безопасности предприятия необходимо решить ряд достаточно сложных задач связанных с перспективным стратегическим развитием предприятия. Необходима эффективная политика и стратегия информационной безопасности, которые должны учитывать перспективы развития предприятия, также текущие и перспективные опасности, угрозы и риски.

Для этого необходимо. Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации. Во-вторых, разработать политику, стратегию и тактические планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных ресурсов предприятия. Для этого необходимо:

· обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

· выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

· определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;

· разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

· обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Основными целями обеспечения информационной безопасности предприятия являются:

· поиск и получение информации необходимой для обеспечения стабильной деятельности и динамичного развития предприятия и его системы безопасности в условиях перманентных опасностей, угроз и рисков рыночной экономики;

· исключение использования недостоверной информации в системе управления предприятием, в его производственной деятельности и в системе безопасности;

· предотвращения несанкционированного доступа к информационным ресурсам предприятия;

· предотвращение утечки, хищения и утраты информации на предприятии;

· предотвращение искажения и подделки информации применяемой в системе управления, производственной деятельности и в системе безопасности предприятия;

· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение иных форм незаконного вмешательства в информационные ресурсы и информационные системы предприятия;

· защита интеллектуальной властности на предприятии.

Учитывая, что в конечном итоге главной цель любой системы безопасности является обеспечение устойчивого функционирования и развития предприятии. Необходимо при обеспечении информационной безопасности основное внимание постоянно уделять на решение следующих задач:

· обеспечение владельцев (руководителей) предприятия необходимой информации для принятия решений на стратегическом и тактическом уровнях управления;

· своевременное выявление опасностей, угроз и рисков для деятельности предприятия;

· предотвращении опасностей, угроз и неприемлемых рисков для деятельности предприятия;

· защита информации и интеллектуальной властности от противоправных посягательств; информационное обеспечении эффективной производственной деятельности всех структурных подразделений предприятия и его системы безопасности.

· отнести информацию к категории ограниченного доступа (служебной тайне);
прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам и интеллектуальной властности;

· своевременно выявлять причины и условия, способствующие нанесению финансового, материального и морального ущерба предприятию, нарушению его нормального функционирования и развития;

· создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

· создать механизмы и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в
их функционировании;

· обеспечивать эффективное пресечение посягательств на информационные ресурсы и интеллектуальную властность на основе правовых, организационных и технических мер и средств обеспечения безопасности;

· создать условия для максимально возможного возмещения и локализации ущерба информационным ресурсам предприятия, наносимого неправомерными действиями физических и юридических лиц, и тем самым ослабить возможное негативное влияние последствий нарушения информационной безопасности.

Достижение целей и задач обеспечения информационной безопасности предприятия должно осуществляться на основе соблюдения следующих принципов:

· законность;

· обеспечение прав и свобод граждан;

· централизованного управления;

· координации и взаимодействия с правоохранительными органами;

· самостоятельности и ответственности за обеспечение безопасности;

· соответствие внешним и внутренним угрозам безопасности предприятия;

· современной материально-технической оснащенности;

· прогрессивного стимулирования субъектов системы безопасности;

· компетенции;

· конфиденциальности;

· комплексного использование сил и средств.

Для решения задач по обеспечению информационной безопасности предприятия на наш взгляд целесообразно использовать модель системы обеспечения информационной безопасности предприятия, которая представлена на рис. 9.1.

Предлагаемая модель системы обеспечения информационной безопасности предприятия состоит из двух подсистем.

Первая подсистема информационного обеспечения. Данная подсистема предназначена для своевременного получения в необходимых объемах достоверной информации, о процессах происходящих на рынке, которые могут повлиять или влияют на деятельность и развитие предприятия, а также состояние его безопасности. Необходима также информация о конкурентной ситуации, новых идеях и научных разработках, появлении перспективных образцов техники и технологий, инновационных процессах и т.д. Без этой информации руководство предприятия не может разработать эффективную стратегию, отвечающую реалиям рынка, а также осуществлять эффективное тактическое и оперативное

управление и обеспечивать безопасность.

Рис. 9.1. Модель системы комплексного обеспечения информационной безопасности предприятия

В предложенной модели определено, чтобы получить необходимую информацию для принятия решений в сфере управления предприятием необходимо осуществить всеми законными методами поиск нужной информации, затем провести систематизацию и анализ полученных сведений, подготовить аналитические документы и довести их до руководства предприятия и других должностных лиц в части касающейся. При этом постоянно обновлять и углублять информацию с учетом текущих и перспективных направлений деятельности предприятия и его системы безопасности. Особое внимание обращается на установление тесной взаимосвязи между всеми элементами подсистемы информационного обеспечения системы информационной безопасности предприятия.

Вторая подсистема предназначена для защиты информации и интеллектуальной собственности предприятия. Она включает организационные мероприятия по защите информационных ресурсов, инженерно-технические средства предупреждения несанкционированного доступа до информационных ресурсов предприятия и правовая защиту информации и интеллектуальной собственности предприятия. Обе подсистемы взаимосвязаны между собой и работают в едином алгоритме.

На основе предложенной модели можно решить задачу комплексного обеспечения информационной безопасности предприятия.