ОСОБЕННОСТИ ПОСТРОЕНИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МАЛОГО ПРЕДПРИЯТИЯ

Особенности построения политики информационной безопасности малого предприятия

Наумова У.В (1)., Чернова Е.В (2).

Магнитогорский государственный университет, студентка 51 гр. факультета информатики (1)

Магнитогорский государственный университет, к.п.н, доц. кафедры Информационных технологий Факультета информатики (2)

Аннотация

В данной статье будут рассматриваться вопросы обеспечения информационной безопасности на примере предприятия «ИнформСистемы». Также, в данной статье будут рассматриваться методы построения политики безопасности с учетом особенностей малого предприятия.

Features of building an information security policy for small business

Naumova U.V. (1), Chernova E.V. (2)

MagnitogorskStateUniversity, Student 51 gr. Faculty of Informatics (1)

MagnitogorskStateUniversity, k.p.n, Assoc. Department of Information Technology Faculty of Informatics (2)

Abstract

This article will address the issue of information security as an example enterprise “InformSystems.” Also, this article will be considered methods of constructing a security policy based on the features of a small business.

На сегодняшний день постоянно растущие объемы информации, количественное и качественное совершенствование способов доступа к информации, многообразие видов угроз, а также возрастание уязвимости различных затрагиваемых субъектов делают проблему защиты информации все более актуальной. В связи с этим, острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает.

На крупных предприятиях существуют специальные службы, в задачи которых входит обеспечение информационной безопасности (далее – ИБ), выявление, локализация и устранение угроз ИБ предприятия. В рамках специально выделяемого бюджета используется специальное дорогостоящее программное и аппаратное обеспечение, иногда настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним.

В то же время, ИБ на малых предприятиях не уделяется должного внимания. Однако в последнее время отмечается рост кибератак именно на небольшие компании. Это связано, в первую очередь, с тем, что малый и средний бизнес не обладает средствами высокоуровневой защиты, которые могут себе позволить крупные предприятия. Ограниченный объем затрат на обеспечение ИБ делает малые предприятия особенно уязвимыми.

В сравнении с большими компаниями, которые могут выделить для обеспечения ИБ целевой бюджет, готовы содержать в штате высококвалифицированных специалистов и закупать специализированное ПО, представители малого бизнеса не могут позволить себе такого. Именно поэтому решения для данного сегмента рынка должны иметь минимальную стоимость, или быть бесплатными и входить в состав средств защиты ИБ операционной системы. Поскольку в штате таких компаний часто отсутствует отдел обеспечения ИБ, настройку и установку сервисов ОС и дополнительных программ должен суметь осуществить квалифицированный системный администратор [3].

В данной работе рассмотрим комплекс мер, способных обеспечить информационную безопасность предприятий малого бизнеса.

Предприятие существует на рынке программного обеспечения с 1997 года. Компания осуществляет создание информационных систем с использованием современных инструментов разработки приложений и баз данных.

На сегодняшний день, деятельность компании сосредоточена на трёх основных направлениях: разработка, продажа и внедрение программного обеспечения для комплексной автоматизации предприятия, разработка мультимедийных обучающих систем и продажа, установка и сопровождение систем контроля над работой автотранспорта, предназначенных для мониторинга и охраны движимой техники. Клиентами компании являются многие крупные предприятия России. Число клиентов компании постоянно растёт.

Главной задачей бизнеса компании является не только создание программных продуктов, но  и формирование особых отношений между компанией и заказчиками, тесного взаимодействия с каждым клиентом на всех этапах сотрудничества. Поскольку предприятие занимается разработкой программных продуктов, а также стремится сохранить на рынке свое прочное положение и хорошую репутацию, вопрос обеспечения ИБ на предприятии стоит более, чем остро.

На данный момент, в компании нет четко сформулированной и задокументированной политики безопасности. В такой ситуации организация не может четко определить ценные информационные ресурсы, методы их защиты и обеспечения единого пространства ИБ на предприятии.  Любая из угроз ИБ может привести к огромному ущербу и тяжелым для предприятия последствиям. Именно поэтому для организации важно иметь задокументированную политику ИБ.

Политика ИБ  - это комплекс документов, отражающий основные требования по обеспечению защиты информации, и мероприятия, которые должна осуществлять компания в этом направлении. При построении политики безопасности можно условно выделить три ее основных уровня: верхний, средний и нижний [1].

Верхний уровень политики ИБ предприятия предназначен:

• для формулирования и демонстрации отношения руководства предприятия к вопросам ИБ и отражения общих целей всего предприятия в этой области;
• разработки основы индивидуальных политик безопасности (на более низких уровнях), правил и инструкций, регулирующих отдельные вопросы;
• для информирования персонала предприятия об основных задачах и приоритетах предприятия в сфере ИБ.

Политики ИБ среднего уровня определяют отношение предприятия (руководства предприятия) к определенным аспектам его деятельности и функционирования информационных систем:

• отношение и требования (более детально по сравнению с политикой верхнего уровня) предприятия к отдельным информационным потокам и информационным системам, обслуживающим различные сферы деятельности, степень их важности и конфиденциальности, а также требования к надежности (например, в отношении финансовой информации, а также информационных систем и персонала, которые относятся к ней);
• отношение и требования к определенным информационным и телекоммуникационным технологиям, методам и подходам к обработке информации и построения информационных систем;
• отношение и требования к сотрудникам предприятия как к участникам процессов обработки информации, от которых напрямую зависит эффективность многих процессов и защищенность информационных ресурсов, а также основные направления и методы воздействия на персонал с целью повышения ИБ.

Политики безопасности нижнего уровня относятся к отдельным элементам информационных систем и участкам обработки и хранения информации и описывают конкретные процедуры и документы, связанные с обеспечением ИБ.

Рассматриваемое предприятие относится к предприятиям малого бизнеса, поэтому из предложенных уровней политики безопасности, с учетом особенностей малого предприятия, следует уделить внимание политики безопасности среднего уровня.

Успешное достижение целей настоящей политики возможно только при выполнении положений следующих детальных политик ИБ:

•  Разграничение информации организации по степени конфиденциальности
•  Политика контроля доступа
•  Политика физической безопасности
•  Политика ИБ при использования сети Интернет
•  Резервное копирование информации
•  Организационные меры ИБ

СПИСОК ЛИТЕРАТУРЫ

1. НОУ ИНТУИТ. Формирование политики ИБ на предприятии [Электронный ресурс]. Режим доступа: http://www.intuit.ru/studies/courses/563/419/lecture/5365?page=2
2. Accounting and Business Solutions [Электронный ресурс]. Режим доступа: http://www.ab-solutions.ru/articles/information_security/
3. Информационная безопасность для малого и среднего бизнеса [Электронный ресурс]. Режим доступа: http://soft.mail.ru/article_page.php?id=289
4. ИТ безопасность [Электронный ресурс]. Режим доступа: http://itzashita.ru/designing/plan-prospekt-politiki-bezopasnosti-chast-2-metodologiya-razrabotki-politiki-bezopasnosti.html