Особенности ИТ-безопасности и построения ИТ-систем

Главная цель безопасности информационных технологий заключается в обеспечении возможности любой организации решать (выполнять) свои функциональные задачи путем построения ИТ-систем, чтобы потом не пришлось искать где ближайший компьютерный мастер на дом.

Информация сегодня один из самых ценных товаров, который можно покупать и продавать. Рано или поздно перед любым предприятием встаёт вопрос организации ИТ-безопасности для устранения возможности кражи или повреждения информации. Информацией может быть что угодно начиная паролем к почтовому ящику и пин-кодом к вашей кредитной карте, заканчивая документацией к новейшей разработке вашей компании и внутренним финансовым отчётом. Сейчас трудно представить себе работу без использования возможностей Интернета – электронная почта, файловые архивы, ленты новостей, клиент-банки, Интернет-пейджеры, магазины, всё это существенно облегчает и ускоряет работу, но нельзя забывать, что если вам доступны ресурсы миллионов компьютеров, то и эти компьютеры могут получить доступ к вашей машине, а информация, передаваемой через Интернет может получить доступ практически кто угодно. Об этом всегда нужно помнить и принимать разумные меры по предотвращению утечки информации. Подробнее о компьютерной помощи на сайте.

Цели достижения требуемого уровня безопасности ИТ-систем могут быть достигнуты путем решения следующих задач, относящихся к обеспечению безопасности:

1. Готовность (систем и данных только для уполномоченного использования):

Готовность является требованием, согласно которому система гарантированно должна обслуживать только авторизованных (или уполномоченных) пользователей. Данная задача обеспечивает предоставление средств защиты:

• против намеренных или случайных попыток осуществить несанкционированное уничтожение данных либо каким-либо иным способом вызвать отказ в обслуживании, или невозможность получения запрашиваемых данных;
• против попыток использовать систему или данные организации для несанкционированных целей.

В большинстве случаев требование обеспечения готовности является одной из наиболее передовых целей поддержания безопасности в организации.

2. Целостность (системы и данных)

Целостность имеет два главных аспекта:

• целостность данных (обеспечение того, чтобы данные не были изменены несанкционированным способом во время их хранения, в течение их обработки или в процессе их передачи);
• целостность системы (под этим понимается качество, которое состоит в том, что система выполняет свои функции только предусмотренным для этого способом и защищена от несанкционированных манипуляций с ней).

Целостность для организации в большинстве случаев является важнейшей целью обеспечения безопасности после готовности.

3. Конфиденциальность (данных и системной информации)

Конфиденциальность является требованием, согласно которому частная или конфиденциальная информация не должна быть раскрыта для несанкционированных обращений к ней со стороны физических лиц или иных субъектов. Защита конфиденциальности распространяется на данные, которые хранятся в памяти, на данные в процессе их обработки и на данные в процессе их передачи.

Большинство организаций ставят конфиденциальность по важности на третье место после готовности и целостности. Однако в некоторых системах и для определенных типов данных (например, аутентификаторы) конфиденциальность является чрезвычайно важной.

4. Ответственность (на персональном уровне)

Ответственность является требованием, согласно которому действия любого субъекта или физического лица могли бы быть однозначно прослежены. Ответственность относится к наиболее часто используемым требованиям при формировании и проведении политики организации. В первую очередь ответственность поддерживает такие действия, как невозможность отказа по принятым обязательствам, сдерживание от враждебных или преступных действий, изоляция массового распространения ошибок, обнаружение и предотвращение вторжений, восстановительные действия и подачу судебных исков.

5. Обеспечение гарантий (того, что все четыре предыдущих задачи цели были реализованы адекватно)

Обеспечение гарантий является основанием для убежденности в том, необходимые меры создания безопасности как технические, так и операционные, полностью предусмотрены и они будут обеспечивать достаточный уровень защищенности системы и обрабатываемой информации. Перечисленные выше четыре задачи обеспечения безопасности (целостность, готовность, конфиденциальность и ответственность) будут адекватно выполнять цели каждая в своей сфере только в тех случаях, когда:

• требуемые функциональные возможности реализованы и работают правильно;
• имеется достаточная защита против неумышленных ошибок (со стороны пользователей или программного обеспечения);
• имеется эффективное сопротивление намеренному незаконному проникновению или попыткам обхода защиты.

Обеспечение гарантий является существенно необходимым - без существования таких гарантий другие цели не могут быть выполнены. В то же время гарантии, формируя континуум (или сплошную среду), могут по своим количественным характеристикам различаться между системами.

Для максимально полного устранения угроз ИТ-безопасности нужно применять как программно-технические, так и административные методы.

Как всё происходит?

Прежде чем приступить к организации информационной безопасности наши специалисты исследуют нынешние программно-технические и организационные методы её обеспечения, условия работы компании, особенности её деятельности. На основе полученных данных будут выделены наиболее опасные участки и подготовлены рекомендации по устранению этих опасностей.

Программно-технические средства обеспечения ИТ-безопасности, используемые нами разнятся в зависимости от целей и нужд очень сильно. Некоторым организациям можно практически полностью ограничиться использованием бесплатного ПО, таким как PGP в бесплатной редакции для шифрования электронной переписки, сервером под управлением FreeBSD или Linux для защиты локальной сети от вторжений через Интернет,. Другим же предприятиям будут предложены более дорогостоящие но наиболее полно решающие их проблемы ИТ-безопасности решения. Могут быть предложены решения с использованием PGP Gateway, Kaspersky Security, линейки продуктов Acronis и StrongDisk и т.д.

Работая с нами вы сможете не думать о аспекте ИТ-безопасности – мы будем думать об этом за вас. Наши сотрудники являются специалистами высокого класса в этой области и постоянно поддерживают высокий уровень знаний в этой области.

Рецензент: Mirandoid