Важно не то, что мы делаем, а то, сколько любви мы вкладываем в свои дела. © Мать Тереза 1036 - | 870 - или читать все...
Обратная связь Пожаловаться на материал

Влияние на безопасность информационных технологий со стороны сотрудников


⇐ ПредыдущаяСтр 3 из 36Следующая ⇒

Структурных подразделений организации

Сотрудники структурных подразделений (конечные пользователи системы) решают свои функциональные задачи с применением средств автоматизации. Совершение ошибок пользователями способствует порождению угроз, которые затем могут быть использованы злоумышленниками для нанесения вреда организации и ее сотрудникам.

 

К числу таких угроз можно отнести:

· создание предпосылок к осуществлению несанкционированного доступа со стороны других лиц (уязвимостей, каналов проникновения) к критичным ресурсам системы;

· разглашение (утечка) конфиденциальной информации (сведений, составляющих коммерческую тайну организации, персональных данных, паролей и др.);

· заражение рабочих станций вирусами, «троянскими» и другими вредоносными программами (внедрение вредоносных и шпионских кодов);

· создание помех для (или остановка) основных производственных процессов.

Способы нанесения ущерба организации (они же возможные цели злоумышленников):

· порча или утрата материального имущества (технических средств);

· искажение или утрата файлов с важной (ценной, чувствительной) информацией;

· потеря конкурентных преимуществ в результате разглашения сведений, составляющих коммерческую тайну;

· дезорганизация или снижение эффективности производственных процессов (нарушение работоспособности подсистем);

· непроизводительные траты ресурсов (материальных, информационных, операционных, рабочего времени и др.);

· судебные иски к организации, к ее руководителям и сотрудникам (со стороны государственных органов, других юридических и физических лиц);

· потеря деловой репутации организации (с последующей потерей клиентов, партнеров и т.п.);

· физический или моральный ущерб персоналу (сотрудникам) организации или третьим лицам.

 

Выполнение сотрудниками ряда ограничительных мероприятий существенно повышает безопасность ИТ. Смысл безопасности ИТ - жесткая регламентация всей деятельности сотрудников, сочетающаяся с высокой исполнительской дисциплиной. Необходимо учитывать, что регламентация деятельности сотрудников (непосредственно не подчиненных службе безопасности) может привести к конфликтам, поэтому дополнительные функции сотрудников должны быть четко определены в соответствующих утвержденных руководством инструкциях.

 

Регламентация действий пользователей и обслуживающего персонала АС

Обслуживающий персонал и пользователи, как неотъемлемая часть АС, сами являются источником внутренних угроз безопасности ИТ организации и одновременно могут являться частью системы защиты АС. Поэтому одним из основных направлений обеспечения безопасности ИТ является регламентация действий всех пользователей и обслуживающего персонала АС, целями которой являются:

· сокращение возможностей лиц из числа пользователей и персонала по совершению нарушений (как неумышленных, так и преднамеренных);

· реализацию специальных мер противодействия другим внутренним и внешним для системы угрозам (связанным с отказами и сбоями оборудования, ошибками в программах, ст1гхийными бедствиями и действиями посторонних лиц, не являющихся частью АС).

 

Регламентация предусматривает введение таких ограничений и внедрение таких приемов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности совершения ими случайных или преднамеренных нарушений (например, наделение каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих обязанностей полномочиями по доступу к ресурсам АС).

Кроме того, чтобы персонал и пользователи как часть системы безопасности АС реализовали свои «защитные возможности», регламентации подлежат вопросы исполнения ими дополнительных специальных обязанностей (функций), связанных с усилением режима безопасности ИТ. Так, для защиты от действий посторонних лиц и «подкрепления» вводимых ограничений на действия своих сотрудников на компьютерах АС могут применяться средства защиты, работающие на физическом, аппаратном или программном уровне. Применение таких средств защиты требует регламентации вопросов их использования конечными пользователями и процессов их администрирования сотрудниками подразделений автоматизации и обеспечения безопасности ИТ.

С учетом вышеизложенного, можно сделать вывод:

- к обеспечению безопасности 1шформащюнных технологий организации (и в определенной степени к управлению ее безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала (все кроме посторонних).

Роли и функции различных категорий сотрудников и подразделений организации в обеспечении безопасности ИТ существенно различаются. Большинство сотрудников должны лишь исполнять установленные в организации регламенты и правила безопасной работы в АС.

Создание (построение, развитие) и эффективное функционирование системы безопасности ИТ может быть обеспечено только при наличии:

■ правильно разработанной системы организационно-распорядительных и нормативно-методических документов, определяющих политику безопасности ИТ (регламенты по вопросам безопасности АС для всех категорий сотрудников организации);

■ специальных технических средств защиты и контроля эффективности принятых мер защиты;

■ специального подразделения (например, отдела технической защиты информации - ОТЗИ).

 

За формирование системы защиты и реализацию единой политики безопасности ИТ организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам обеспечения безопасности ИТ должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения безопасности ИТ).

В силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по обеспечению безопасности ИТ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение безопасности ИТ.

Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты. Системные администраторы обычно входят в штат подразделений автоматизации (информатизации). Администраторы дополнительных средств зашиты, как правило, являются сотрудниками подразделения защиты информации.

Таким образом, организационную структуру системы обеспечения безопасности ИТ организации можно представить в виде совокупности следующих уровней:

· уровень 1 - Руководство организации;

· уровень 2 - Подразделение обеспечения безопасности ИТ;

· уровень 3 - Администраторы штатных и дополнительных средств защиты;

· уровень 4 - Ответственные за обеспечение безопасности ИТ в подразделениях (на технологических участках);

· уровень 5 - Конечные пользователи и обслуживающий персонал.

 

Дата добавления: 2018-02-28; просмотров: 367; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая12345678910Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.018)