fy"> контрольованість. Події, пов'язані з функціонуванням системи захисту, повинні контролюватися засобами моніторингу безпеки;
сертіфіціруемие. Застосовувані при побудові системи захисту засоби повинні задовольняти встановленим стандартам і вимогам;
масштабованість. При побудові системи захисту повинна бути забезпечена можливість її розвитку з урахуванням розвитку телекомунікаційних мереж підприємства.
3.2 Методи захист інформації в телекомунікаційних мережах підприємства
Галузевий стандарт з інформаційної безпеки визначає захист інформації як діяльність, спрямовану на запобігання витоку інформації, несанкціонованих і ненавмисних дій на інформацію. І якщо перший напрямок (запобігання витоку) повинно попереджати розголошення конфіденційних відомостей, несанкціонований доступ до них та/або їх отримання розвідками (наприклад, комерційної розвідкою фірм-конкурентів), то два інших напрямки захищають від однакових загроз (спотворення конфіденційної інформації, її знищення, блокування доступу і аналогічні дії з носієм інформації). Вся різниця полягає в наявності або відсутності умислу в діях з інформацією (рис. 3.1.).
Рис.3.1. Захист інформації на підприємстві
Найбільше загроз раніше створюють комп'ютерні віруси (у число яких крім традиційних файлових, завантажувальних, макровірусів і т. п. шкідливих програм входять також «троянці», «вандали», перехоплювачі паролів і т. д.) і атаки розповсюджувачів спаму.
Багато мережі роками залишаються відкритими для прибульців з Інтернету, і невідомо, що в цьому випадку небезпечніше - свідомий злом зловмисником корпоративної мережі для знімання конфіденційної інформації або ж здійснювана дезорганізація роботи мережі за допомогою атак типу «відмова в обслуговуванні ». Оскільки для малих і середніх комерційних структур створення спеціально захищених ліній зв'язку неможливо, доводиться використовувати відкриті канали для обміну крім іншого і конфіденційною інформацією, а це загрожує як перехопленням цієї інформації, так і порушенням її цілісності або підміною.
Усередині локальної мережі актуальна задача надійної аутентифікації користувачів: хрестоматійний приклад прикріплення до монітора папірці з записаним логіном і паролем.
Найчастіше не надається значення розмежуванню доступу між легальними користувачами. Тут можна навести таку аналогію: ієрархію кабінетів всі співробітники дотримуються свято, нікому не приходить в голову окупувати стіл або кімнату начальства, а ось по відношенню до конфіденційної інформації діє, так би мовити, принцип «кожному за інтересами», і відомості, призначені двом-трьом топ-менеджерам, стають відомі мало не половині фірми.
В якості ще одного каналу вірогідною витоку можна назвати, наприклад, сервіс-центри, в які надходять диски з не знищеної належним чином інформацією. Нарешті, не варто забувати, що в значній кількості випадків користувачі оперують інформацією не тільки в електронному, але і в паперовому вигляді, і регулярне обстеження вмісту сміттєвих відер, куди відправляються чернетки і начерки, може дати вашим конкурентам більше, ніж хитромудрі атаки і спроби злому.
Таким чином, можна зробити висновок: захист інформації - одне з ключових напрямків діяльності будь-якої успішної фірми. Перед спеціально відібраним для цього співробітником (або підрозділом) стоять наступні завдання:
аналіз загроз конфіденційної інформації, а також вразливих місць автоматизованої системи та їх усунення;
? формування системи захисту інформації - закупівля і установка необхідних коштів, їх профілактика та обслуговування;
навчання користувачів роботі із засобами захисту, контроль за дотриманням регламенту їх застосування;
розробка алгоритму дій в екстремальних ситуаціях і проведення регулярних навчань raquo ;;
розробка і реалізація програми безперервної діяльності автоматизованої системи та плану відновлювальних заходів (у разі вірусної атаки, збою/помилки/відмови технічних засобів і т. д.).
Отже, можна констатувати, що діяльність по захисту інформації протікає в рамках чотирикутника «керівництво компанії - служба захисту інформації - користувачі», і від доброї волі всіх цих сторін залежить, чи буде їхня співпраця ефективним.
З якими ж проблемами доводиться стикатися при побудові системи захисту інформації?
Метод латочок. «Кусково» забезпечення інформаційної безпеки лише на окремих напрямках. Наслідок - неможливість відбити атаки на незахищених ділянках і дискредитація ідеї інформаційної безпеки в цілому.
Синдром амеби. Ф...
