Цялостна защита на информацията в корпоративни мрежи, съществуващи решения, отличителни черти,

Характеристики и задачи на корпоративните системи за информационна сигурност

Осигуряването на информационна сигурност е от значение преди всичко за корпорации със сложна, географски разпределена структура на много нива: големи банки, транснационални и държавни компании. Често корпоративните мрежи на такива организации се изграждат с помощта на оборудване от различни поколения и от различни производители, което значително усложнява процеса на управление на ИТ системата.

В допълнение, информационните структури на корпорациите се различават по хетерогенност, те се състоят от различни бази, набори от разпределени и локални системи. Това прави корпоративните ресурси особено уязвими. В процеса на обмен на данни между потребители на организацията и външния свят, мрежите могат да бъдат засегнати от злонамерени програми, които унищожават базите данни и прехвърлят информация на трети страни.

Внедряването на злонамерени алгоритми може да доведе както до парализа на системата и нейните откази, така и до загуба, заместване или изтичане на информация. Всичко това е изпълнено с огромни имидж, време и финансови загуби за компанията.

По този начин основните задачи на всяка система за информационна сигурност са:

За да се решат определените цели, днес се използват методи за информационна сигурност като регистрация и регистрация, идентификация и удостоверяване, контрол на достъпа, създаване на защитни стени и криптография. За тях обаче, както и за конкретни софтуерни продукти, базирани на тях, ще говорим малко по-късно.

Трябва да се отбележи, че значението на осигуряването на информационна сигурност се оценява и на държавно ниво, което е отразено в изискванията на нормативните правни актове, като например:

Важно е!

Регулатори в областта на информационната сигурност в Руската федерация са: Федерална служба за технически и износен контрол, Федерална служба за сигурност, Федерална служба за сигурност, Министерство на отбраната на Руската федерация, Министерство на комуникациите и средствата за масова информация на Руската федерация, Външно разузнаване Служба на Руската федерация и Банката на Русия.

И така, регулаторите предлагат следните изисквания за защита на данните в компютърни мрежи:

  • използване на лицензиран хардуер и софтуер;
  • проверка на информационните обекти за съответствие с регулаторните изисквания за сигурност;
  • съставяне на списък със софтуерни инструменти, които са разрешени за използване и забрана за използване на инструменти, които не са включени в този списък;
  • използване и навременна актуализация на антивирусни програми, редовни проверки на компютрите за зараза със злонамерен софтуер;
  • разработване на методи за превенция, за да се предотврати навлизането на вируси в мрежата;
  • разработване на методи за съхранение и възстановяване на заразения софтуер.

В банковите структури е необходимо също така да се осигури ограничаване на достъпа до данни, за да се предотвратят престъпни действия от служители и да се въведат методи за криптиране на данни, за да се гарантира сигурността на транзакциите с електронни пари.

Интегриран подход за изграждане на система за информационна сигурност и защита на информацията

Надеждната защита на информацията може да бъде осигурена само чрез интегриран подход, който предполага едновременно използване на хардуер, софтуер и криптографски средства (нито едно от тези изолирани средства не е достатъчно надеждно). Такъв подход осигурява анализ и оптимизация на цялата система, а не на отделните й части, което дава възможност да се осигури баланс на характеристиките, докато подобряването на някои параметри често води до влошаване на други.

Интересно е!

Стандартът за изграждане на система за сигурност е ISO 17799, който предвижда прилагането на интегриран подход за решаване на възложените задачи. Съответствието с този стандарт ви позволява да решите проблемите за осигуряване на поверителност, целостта, надеждността и наличността на данни.

Организационните мерки, предприети с интегриран подход, са независим инструмент и обединяват всички използвани методи в един цялостен защитен механизъм. Този подход гарантира сигурността на данните на всички етапи от тяхната обработка. В същото време правилно организираната система не създава сериозни неудобства за потребителите в процеса на работа.

Интегрираният подход включва подробен анализ на внедряваната система, оценка на заплахите за сигурността, проучване на инструментите, използвани за изграждане на системата и техните възможности, анализ на съотношението на вътрешните и външните заплахи и оценка на възможността за извършване на промени в системата.

Методи и средства за защита на информацията

По този начин, за да се гарантира защитата на информацията, трябва да се вземат следните мерки: