Мероприятия по совершенствованию информационной безопасности на предприятии по продаже цифровой техники ИП «Салон Цифровой Техники НЕОН

- за счет большого числа предприятий  розничной торговли происходит  удовлетворение потребности конечного  покупателя по месту его жительства  или работы. При этом, большие объемы поставок от поставщика делятся на мелкие порции товара, соответствующие желаниям и потребностям конечного покупателя;

- через розничную торговлю производитель  получает информацию о спросе  на товар, являясь наиболее  чувствительным индикатором регулирования объемов производства;

- через розничную торговлю происходит  освоение новых рынков и осуществляется  продвижение новых товаров;

- розничная торговля выполняет  рекламные функции товара производителя.

     1.2. Понятие информационной безопасности и методы защиты

Информационная безопасность АС рассматривается как состояние системы, при котором:

1. Система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз. 

2. Функционирование и сам факт наличия системы не создают угроз для внешней среды и для элементов самой системы.

Деятельность, направленную на обеспечение информационной  безопасности, принято называть защитой информации.

Информационная безопасность это комплекс мер по обеспечению безопасности информационных активов предприятия. Самое главное в этом определении это то, что информационную безопасность можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему информационной безопасности в целом [1, с. 37].

Среди целей информационной безопасности (ИБ) главными можно выделить следующие:

Конфиденциальность–обеспечение  информацией только тех людей, которые  уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.

Целостность–поддержание целостности  ценной и секретной информации означает, что она защищена от неправомочной  модификации. Существуют множество  типов информации, которые имеют ценность только тогда, когда мы можем гарантировать, что они правильные. Главная цель информационной политики безопасности должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.

Доступность–обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае, основная цель информационной политики безопасности должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

В настоящее время большинство  организаций регулярно терпят убытки, связанные с нарушением информационной безопасности, не способны оценить  ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками ИБ. Убытки от нарушений ИБ могут выражаться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п [2, с. 55].

 В обозримом будущем у  российских предприятий появится  стремление не только выстроить  комплексную систему защиты, но  и обеспечить более широкий  выбор конкретных программных  средств защиты. В ближайшие два-три  года российские предприятия вызовут большой интерес всех крупнейших разработчиков систем. Основные угрозы ИБ приведены на рисунке 1.1. [6, с. 44].

По оценкам экспертов в области  компьютерной безопасности, до 80% всех компьютерных преступлений совершено  работающими или уволенными сотрудниками. Причин можно назвать много, самая распространенная из них - неудовлетворенность работника статусом или зарплатой. Наиболее опасным является увольнение сотрудников, обладающих большими полномочиями и имеющих доступ к широкому спектру информации. Например, огромный ущерб может нанести сотрудник отдела информационных технологий, а тем более администратор сети (баз данных), инженер по безопасности. Им могут быть известны пароли к большинству используемых систем. Атаки, исходящие от такого экс-сотрудника, весьма сложно обнаружить, ведь ему известны все применяемые защитные механизмы. Но больше всего убытков может причинить неграмотность и халатность сотрудников.

Половина паролей, придуманных  рядовыми служащими, состоят из цифр даты рождения и имени дочери или сына (например, Natasha 1984). Подобрать такие пароли не составит труда. Назначение системным администратором пароля из трудно запоминаемой комбинации букв и цифр может усугубить ситуацию. Опасаясь забыть пароль, сотрудники записывают его на обратной стороне клавиатуры, либо приклеивают бумажку к монитору, либо ставят галочку «запомнить пароль», чтобы не набирать его заново. В результате доступ к компьютеру и корпоративной сети может получить каждый желающий.

Специалисты считают, что беспечность менеджеров и персонала связана с отсутствием информации о подобных атаках: большинство пострадавших не предают такие инциденты огласке. Негативно сказывается также низкий уровень корпоративной дисциплины и поверхностное обучение пользователей правилам защиты информации. Кроме того, до сих пор данная проблема освещалась довольно слабо. В лучшем случае о ней говорили как о второстепенной на фоне внешних угроз [7, с. 52].

 В последние годы проблемы  информационной безопасности все  более явно проявляют свой  системный характер и практически являются неотъемлемой частью проблем любого бизнеса. В этом отношении представляет интерес точка зрения Международной организации по экономическому сотрудничеству и развитию (ОЭСР), которая рассматривает сущность информационной безопасности бизнеса как состояние защищенности интересов или целей собственника в информационной сфере и в своих директивах «Содействие бизнесу» отмечает, что это понятие неразрывно связано с эффектом доверия, который порождают три основных фактора:

-прозрачность для руководителя (собственника, бизнесмена) подконтрольных  ему процессов;

-уверенность в эффективности  системы безопасности;

-понимание того, что выделенное финансирование является оптимальным.

Рисунок 1.1. Основные угрозы ИБ

 

Международная практика показывает, что решение проблем защиты информации в условиях современного бизнеса во многом зависит от того, на каком из трех уровней в плане организации деятельности службы информационной безопасности находится компания: мнимом, реальном или управляемом.

Мнимый, или кажущийся, уровень  возникает, когда после проведения первичных мероприятий по информационной безопасности не проводятся их мониторинг и соответствующая корректировка. При таком подходе через один-два  года уровень безопасности по различным причинам объективно начинает фактически снижаться до некоторого минимального значения, чем сразу же могут воспользоваться злоумышленники. Реальный уровень отражает картину текущего состояния. Управляемый, или требуемый, уровень, который можно еще назвать состоянием защищенности объекта, достигается только соответствием стандартам менеджмента информационной безопасности.

Появились такие стандарты в  Великобритании в конце прошлого тысячелетия. Первая версия британского  стандарта BS 7799 «Менеджмент информационной безопасности. Практические правила» была опубликована в 1995 г. Он создан как единый стандарт управления программными и сетевыми ресурсами, а также контроля над качеством предоставляемых услуг в компаниях, использующих информационные системы, и явился обобщением мирового опыта в организации систем информационной безопасности. Согласно этому стандарту целью информационной безопасности является обеспечение бесперебойной работы компании, а также по возможности предотвращение и/или минимизация ущерба от нарушений безопасности. Популярность стандарта обусловлена его гибкостью, так как он представляет собой набор рекомендаций по применению лучших практик обеспечения безопасности, подходящий любому типу компании независимо от ее размера и направления деятельности, и был предназначен для использования в качестве справочного документа как для руководителей, так и для рядовых сотрудников, отвечающих за планирование, реализацию и использование системы информационной безопасности [3, с. 78].

Данный стандарт со временем дорабатывался и регулярно пересматривался. В настоящее время он включает три составные части:

BS 7799-1:2005 «Практические правила  управления информационной безопасностью»  (Information security management. Code of practice for information security management);

BS 7799-2:2005 «Требования к системам  управления информационной безопасностью»  (Information security management. Specification for information security management systems);

BS 7799-3:2006 «Руководство по управлению рисками информационной безопасности» (Information security management systems. Guidelines for information security risk management).

Вторая версия стандарта BS 7799-1, опубликованная со множеством поправок и улучшений  в 1999 г., была заимствована Международной  организацией по стандартизации ISO и в декабре 2000 г. опубликована в качестве стандарта ISO 17799 «Кодекс установившейся практики для менеджмента информационной безопасности». Этот стандарт был пересмотрен в 2005 г. и введен в действие в России в качестве национального стандарта ГОСТ Р ИСО 17799 с 1 января 2007 г.

Первая версия BS 7799-2, опубликованная в 2002 г., разрабатывалась для применения при внедрении интегрированных  комплексных систем управления и  была приведена в соответствие с  такими стандартами, как ISO 9001:2000 «Системы менеджмента качества» и ISO 14001:1998 «Системы управления окружающей средой». Вторая часть британского стандарта регламентирует процессы создания системы менеджмента информационной безопасности в условиях современного бизнеса. Переработанная в 2005 г., она положила начало новой серии международных стандартов по информационной безопасности 27000 и, опубликованная от имени ISO, получила название ISO 27001:2005 «Информационная технология. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»; в России в качестве национального стандарта ГОСТ Р ИСО 27001 введена в действие с 1 февраля 2008 г. Стандарт ISO/IEC 17799-2005 в 2007 г. был еще раз пересмотрен и получил обозначение ISO 27002:2007.

Третья часть британского стандарта BS 7799-3:2006 «Руководство по управлению рисками информационной безопасности» проектируется в качестве стандарта ISO 27005. Этот стандарт гармонизирован с ISO 27002:2007 (основанном на BS 7799-2:2005) относительно примеров по компонентам системы защиты и с ISO серии 9000 по требованиям к документам. Внедрение в бизнес-практику уже введенных в действие в России стандартов ГОСТ Р ИСО 17799 и ГОСТ Р ИСО 27001 подразумевает наличие в компании как минимум двух документов: политики информационной безопасности и методологии оценки ее рисков [2, с. 8].

Для решения проблем защиты информации в современных условиях внедрение  стандартов менеджмента информационной безопасности дает компаниям ряд  дополнительных прямых и косвенных  преимуществ. В качестве прямых преимуществ можно назвать существенное улучшение качества информации для принятия решений, а также сведение до минимума потерь, связанных с нарушением ее конфиденциальности, целостности и доступности. Косвенными преимуществами могут быть международное признание компании и рост доверия партнеров по бизнесу, а также возможность получения различных кредитов.

Методы обеспечения информационной безопасности (рис. 1.2.) весьма разнообразны.

 

Рис. 1.2. Основные методы обеспечения информационной безопасности

 

Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях.

Инженерно–технические методы ставят своей целью обеспечение  защиты информации от утечки по техническим  каналам – например, за счёт перехвата электромагнитного излучения или речевой информации.

Правовые и организационные  методы защиты информации создают нормативную  базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности.

Теоретические методы обеспечения  информационной безопасности, в  свою очередь, решают две основных задачи. Первая из них–это формализация разного  рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе–а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача–строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.

При построении систем защиты от угроз нарушения конфиденциальности информации в автоматизированных системах используется комплексный подход. Схема традиционно выстраиваемой эшелонированной защиты приведена на рис. 1.3.

Как видно из приведённой  схемы, первичная защита осуществляется за счёт реализуемых организационных мер и механизмов контроля физического доступа к АС. В дальнейшем, на этапе контроля логического доступа, защита осуществляется с использованием различных сервисов сетевой безопасности. Во всех случаях параллельно должен быть развёрнут комплекс инженерно-технических средств защиты информации, перекрывающих возможность утечки по техническим каналам.

 

Рис. 1.3. Структура системы защиты от угроз нарушения конфиденциальности информации

 

Организационные меры и меры обеспечения физическои безопасности

Данные механизмы в  общем случае предусматривают:

-развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.