В настоящее время отмечается рост внимания к вопросам информационной безопасности. Можно отметить, что государственные и крупные коммерческие компании рассматривают мероприятия по обеспечению информационной безопасности как неотъемлемую часть всего комплекса работ по созданию автоматизированных систем. Однако малый бизнес, обычно по экономическим причинам, зачастую пренебрегает решением проблемы защиты информации, в связи с чем сталкивается с рядом проблем и, как правило, уже после понесенного ущерба вынужден принимать меры по защите своих информационных ресурсов.
Эффективна ли защита?
Что же является критерием эффективности системы защиты корпоративной информации?
Мы считаем, что в самом общем случае таким критерием может служить способность системы защиты обеспечивать конфиденциальность, целостность и санкционированную доступность информации при воздействии различных факторов риска. При этом под фактором риска рассматривается любая реально возможная ситуация, возникновение которой может нанести материальный или моральный ущерб (например, несанкционированный доступ к программным и техническим средствам корпоративной сети, неисправности и нарушения функционирования программ и оборудования, ошибки персонала и т.д.). Таким образом, чем больше факторов риска рассматривается и нейтрализуется, тем выше уровень защищенности корпоративной сети и тем дороже создание и обслуживание ее системы защиты. Но в любом случае для создания эффективной системы комплексной защиты информации необходимо наличие, сочетание и дополнение следующих составляющих:
1) внутренних нормативных и организационно-распорядительных документов по обеспечению информационной безопасности, определяющих защищаемые информационные ресурсы, права доступа к ним различных категорий пользователей, порядок их использования, действия в кризисных ситуациях и т.д.;
2) оптимальной (с точки зрения обеспечения информационной безопасности) настройки встроенных защитных механизмов операционных систем и прикладного программного обеспечения;
3) установки, наладки и обслуживания специализированных средств защиты информации.
Зарубежное или отечественное?
Зарубежные средства защиты информации на сегодняшний день, как правило, более универсальны, просты в эксплуатации и удобны в администрировании, но используют зарубежные алгоритмы и стандарты. Если говорить об отечественных средствах защиты информации, то к их преимуществам можно отнести относительно недорогую стоимость, соответствие российским ГОСТам (прежде всего в части шифрования и выработки/проверки ЭЦП) и, как правило, наличие необходимых сертификатов. Среди недостатков хотелось бы отметить недостаточную функциональность и совместимость с аналогичными продуктами других фирм-производителей. Но в то же время, прежде всего усилиями Гостехкомиссии России и ФАПСИ, наметились положительные тенденции по устранению данных недостатков и улучшению качества, надежности и предоставляемого сервиса отечественных средств защиты информации.
Наибольшее распространение в России получили следующие продукты. В классе межсетевых экранов: WatchGuard Firebox, Cisco PIX. В классе средств защиты информационных ресурсов ПЭВМ от НСД: «Аккорд», Secret Net, Dallas Lock, Спектр-Z. В классе антивирусных продуктов: AVP.
Хотелось бы в этой связи отметить неплохие встроенные (штатные) защитные функции маршрутизаторов Cisco и операционных систем семейства Unix и Novell NetWare.
Можно порекомендовать комплексный подход к обеспечению информационной безопасности автоматизированной системы на всех этапах ее создания, развития и эксплуатации. Важно подчеркнуть, что «комплексность» в данном контексте означает также объединение усилий и мастерства всех структурно-функциональных подразделений организации. Желание и воля руководителя компании в решении этих вопросов имеют принципиальное значение.
