Совершенствование системы информационной безопасности

Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.

Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:

• · отсутствие паролей на компьютерах сотрудников;
• · нерегулярное обновление базы программы антивируса и сканирование рабочих станций;
• · большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;
• · не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;
• · отсутствует дополнительная защита файлов и информации.

Перебои в работе серверного и сетевого оборудования, информационных систем, каналов передачи данных относятся к факторам рисков, связанных с информационными технологиями. На минимизацию рисков должны быть направлены действия:

• · по проведению планово-предупредительных ремонтов,
• · созданию резервных каналов,
• · модернизации вычислительных мощностей,
• · сетевого и инженерно-технологического оборудования.

Необходимо провести следующие необходимые «защитные» мероприятия на предприятии:

• · адекватное определение перечня сведений, подлежащих защите;
• · выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации;
• · принятие мер по ограничению доступа к информации;
• · организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т. п.);
• · наличие четких правил обращения с документами и их размножения;
• · наличие на документах надписей: «Секретно», «Для служебного пользования», а на дверях — «Посторонним вход воспрещен». Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик);
• · усовершенствование пропускного режима — установка современных кодовых замков, выпуск электронных пропусков для сотрудников;
• · подписание с сотрудниками предприятия договора о неразглашении тайны.

Предложенные меры защиты несут в себе не только устранение основных проблем на предприятии, касающихся информационной безопасности, но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности. Потребует дополнительных затрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческий фактор, форс-мажорные обстоятельства.

Если такие меры не предпринять затраты на восстановление информации, потерянные возможности по стоимости превзойдут те затраты, что требуются для разработки системы безопасности.

Модель информационной системы с позиции безопасности представлена рисунке 1, декомпозиция бизнес-процесса «Защитить информацию» представлена на рисунке 2.

Рис.1-Модель бизнес-процесса «Защитить информацию» .

Рис.2— Декомпозиция бизнес-процесса «Защитить информацию» .