Архів / Archive

Печенюк А.В., к.е.н., доцент,

завідувач кафедри інформаційних технологій,

Подільський державний аграрно-технічний університет

м. Кам’янець-Подільський, Україна

ПРОБЛЕМИ ОРГАНІЗАЦІЇ ЕФЕКТИВНОГО ЗАХИСТУ ІНФОРМАЦІЇ

Сучасне суспільство стає все більш інформаційно залежним. Ефективність управління сучасним підприємством значною мірою визначається тим, яку інформацію використовує менеджмент і як нею розпоряджається, адже від цього залежить конкурентоспроможність фірми.

Збитки від втрати важливих даних або розголошення конфіденційної інформації досить часто значно перевищують вартість апаратних і програмних засобів, що використовуються для їх зберігання.

Тому організація ефективної інформаційної безпеки є одним з найголовніших завдань, яке має бути вирішене при побудові інформаційної системи сучасного підприємства [2].

Під захистом інформації розуміють, як правило, сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї.

Найбільш розповсюджені види інформаційних загроз, пов’язаних з використанням сучасних комп’ютерних технологій:

• шкодочинне програмне забезпечення;
• інтернет-шахрайство;
• несанкціонований доступ до інформаційних ресурсів та інформаційно-телекомунікаційних систем;
• логічні бомби (набори команд, що записуються в програму і спрацьовують за певних умов;
• «троянські коні» (програми, що виконують певні дії без відома власника зараженої системи, наприклад, – відсилають за певною адресою конфіденційну інформацію);
• різні види атак, що дозволяють проникнути в мережу або перехопити управління нею;
• крадіжка коштів;
• засоби пригальмовування обміну даними в мережі;
• природні катаклізми [1].

Слід розуміти, що навіть якщо система інформаційної безпеки побудована з урахуванням усіх сучасних методів і засобів захисту, а підприємство має ретельно підібраний та кваліфікований персонал, це не гарантує стовідсоткового захисту інформаційних ресурсів підприємства: жодна система захисту не може довгий час протистояти цілеспрямованим діям озброєного сучасними технологіями кваліфікованого порушника [5].

Проте грамотно побудована політика інформаційної безпеки дозволяє мінімізувати відповідні ризики. В теперішніх умовах таку політику треба постійно підтримувати: контролювати, модернізувати, оновлювати [2].

Організація ефективного захисту інформаційної системи сучасного підприємства залежить від:

• рівня секретності та властивостей інформації, яка підлягає захисту;
• конкретної технології обробки інформації;
• технічних і програмних засобів, що використовуються підприємством;
• місця розташування підприємства;
• специфіки діяльності тощо [5].

Політика безпеки, окрім правил розмежовування доступу, встановлює правила керування. Функції керування покладаються на довірених осіб, які несуть відповідальність за безпеку опрацьовуваної інформації. Цих осіб називають, як правило, адміністраторами комп’ютерних систем [3].

Можна виділити такі основні групи засобів протидії загрозам інформаційній безпеці:

• правові або законодавчі (законодавчо-права база, нормативні документи Державної служби спеціального зв’язку та захисту інформації);
• морально-етичні (дотримання норм поведінки, що складаються в інформаційному суспільстві країни);
• організаційні або адміністративні (регламентують процес функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою);
• фізичні (ґрунтуються на використанні механічних, електро- або електронно-механічних пристроїв, призначених для створення фізичних перешкод на можливих шляхах проникнення потенційних порушників, їх доступу до компонентів системи та інформації, що захищається, а також засоби візуального спостереження, зв’язку і охоронної сигналізації);
• технічні (використання різних електронних пристроїв і спеціального програмного забезпечення) [5].

Як правило, кожне сучасне підприємство регламентує правила роботи з інформацією. Політика безпеки інформації є складовою частиною загальної політики безпеки фірми. Необхідною у сучасних умовах є розробка переліку вимог, загроз та оцінювання ризиків і описання створеного комплексу заходів протидії інформаційним загрозам [3].

Для побудови ефективної системи захисту інформації, підприємство має дати відповіді на питання:

• які інформаційні ресурси підлягають захисту;
• яке програмне забезпечення можна використовувати на службових комп’ютерах;
• дисциплінарні стягнення і загальні вказівки про проведення службових розслідувань;
• на кого поширюються правила;
• хто розробляє загальні вказівки;
• хто має право змінювати вказівки;
• точний опис повноважень та привілеїв посадових осіб;
• хто може надавати повноваження та привілеї;
• порядок надання і позбавлення привілеїв у галузі інформаційної безпеки;
• повнота і порядок звітності про порушення безпеки та злочинної діяльності;
• особливі обов’язки керівництва і службовців щодо забезпечення інформаційної безпеки;
• дати введення в дію та перегляду;
• хто і яким чином ввів в дію ці правила [4].

Відповідно до Інструкції з безпеки систем RFC 2196 «Site Security Handbook» (RFC – Request for Comment) виділять чотири основні етапи побудови політики інформаційної безпеки:

1. реєстрація всіх ресурсів, які підлягають захисту;
2. аналіз і створення переліку потенційних загроз для кожного ресурсу;
3. оцінка ймовірності появи кожної загрози;
4. прийняття рішень, які дозволяють ефективно захистити інформаційну систему [2].

Для мінімізації ризиків, пов’язаних з інформаційною безпекою, менеджмент сучасного підприємства має:

• користуватися ефективним повноцінним антивірусним програмним забезпеченням та регулярно оновлювати бази даних сигнатур вірусів.
• застосовувати програмний міжмережний екран (брандмауер) та штатні засоби захисту від шкідливого програмного забезпечення.
• забезпечити резервне копіювання даних шляхом їх збереження на знімних носіях інформації (CD/DVD, HDD тощо), відділених серверах;
• дотримуватись вимог сучасної методики створення паролів, забезпечувати  їх регулярну зміну;
• не зберігати аутентифікаційні дані в легкодоступних місцях;
• уважно відстежувати прояви Інтернет-шахрайства;
• при користуванні Інтернет-ресурсами (соціальні мережі, системи обміну повідомленнями, новини, онлайн-ігри) не переходити по невідомих посиланнях та не завантажувати файли, що мають потенційно небезпечне розширення (наприклад, .exe, .bin, .ini, .dll, .com, .sys, .bat тощо).
• при під’єднанні змінних носіїв інформації забезпечувати їх автоматичну перевірку на наявність шкодочинного програмного забезпечення;
• регулярно підвищувати рівень обізнаності з питань безпечного використання інформаційних технологій та протидії інформаційним загрозам, для реалізації яких використовується «людський фактор» (соціальна інженерія, Інтернет-шахрайство) [1].

Однозначної відповіді на питання, як забезпечити повноцінний захист інформаційної системи, не існує. Це пов’язано з наявністю цілої низки факторів впливу на прийняття того чи іншого рішення: специфіка діяльності, політика безпеки, фінансові можливості, технічна підготовка персоналу тощо [2].

Проте для забезпечення належного рівня конкурентоспроможності сучасне підприємство мусить побудувати надійну систему захисту інформації, яка є одним з найважливіших ресурсів, що забезпечує розвиток, ефективність і стабільність функціонування фірми, сприяє підвищенню продуктивності праці, ефективності використання ресурсів.

Список використаних джерел

1. Базовий курс з інформаційної безпеки. – [Електронний ресурс]. – Режим доступу: http://cert.gov.ua/pdf/Брошура-CERT-UA-Інформаційна-безпека.pdf
2. Батюк А.Є. Інформаційні системи в менеджменті / А.Є. Батюк, З.П. Двуліт, К.М. Обельовська, І.М. Огородник, Л.П. Фабрі. – Львів: Національний університет «Львівська політехніка», «Інтелект-Захід». – 2004. – С. 343–380.
3. Захарченко М.В. Інформаційна безпека інформаційно-комунікаційних систем. Комплекси засобів захисту інформації від НСД. / М.В. Захарченко, В.Г. Кононович, В.Й. Кільдішев, Д.В. Голев // За ред. М.В. Захарченка. – Одеса: ОНАЗ ім. О.С. Попова, 2011. – 168 с.
4. Кузьменко Б.В. Захист інформації. Організаційно-правові засоби забезпечення інформаційної безпеки / Б.В. Кузьменко, О.А. Чайковська. – [Електронний ресурс]. – Режим доступу: http://itman.at.ua/news/ kuzmenko_b_v_chajkovska_o_a_zakhist_informaciji_navchalnij_posibnik_ch_1_ organizacijno_pravovi_zasobi_zabezpechennja_informacijnoji/2011-03-25-5
5. Остапов С.Е. Технології захисту інформації: навчальний посібник / С.Е. Остапов, С.П. Євсеєв, О.Г. Король. – Х.: Вид. ХНЕУ, 2013. – 476 с.