Чтобы разобраться в том, насколько важна для организации информационная безопасность, необходимо иметь четкое представление об понятии. Это наиболее простой и правильный путь для того, чтобы составить четкий план действий для обеспечения защиты информации и оценки предполагаемых затрат.

Защита информации

Защита информации – довольно широкое понятие, включающее в себя обширный круг вопросов. Однако, базовыми свойствами информации в свете ее защиты являются: целостность, доступность и конфиденциальность.

Целостность – свойство информации, гарантирующее, что информация остается корректной, а изменения могут вносить только определенные лица. Сегодня вся коммерческая информация, бухгалтерские данные, финансовая отчетность, клиентские базы, договора, планы и стратегия развития компании хранятся в локальной сети. Большой процент документов не дублируется в бумажном виде, так как объем информации очень велик. В таких условиях обеспечение целостности предусматривает систему мер защиты серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере, а также защиту от преднамеренных действий, направленных на повреждение информации. К повреждению данных приводит и некорректная работа систем резервного копирования, сетевого и прикладного ПО. Примером обеспечения целостности информации может служить использование электронной цифровой подписи при обмене информацией через открытые сети.

Доступность – это гарантия того, что авторизованные пользователи могут иметь доступ и работать с информационными активами, ресурсами и системами, при этом крайне желательно обеспечить необходимую производительность. Обеспечение этого свойства информации включает в себя комплекс мер для поддержания доступности информации, несмотря на возможные помехи, включая отказ системы, преднамеренные попытки злоумышленника нарушения доступности. Примером может служить создание резервных копий важных данных, а также системы быстрого восстановления при утере или повреждении оригиналов.

Конфиденциальность – это гарантия, что доступ к информации имеют только те пользователи и процессы, которые имеют право это делать. Обеспечение конфиденциальности включает в себя процедуры и меры, предотвращающие раскрытие информации неавторизованным пользователям. Примером может являться почтовое сообщение, которое защищено от прочтения кем бы то ни было, кроме адресата. В обеспечении конфиденциальности одну из ключевых ролей играют системы криптографической защиты информации.

Очевидно, что утеря хотя бы одного из указанных выше свойств информации может нанести серьезный ущерб компании как в материальном, так и в репутационном плане. Согласно статистике каждая российская компания, подвергнувшаяся кибератаке, теряет в среднем 3,3 миллиона долларов за год. Думаю, стоит задуматься над этой цифрой.

Итак, с чего же начать работу по определению необходимых мер по защите информации и, как следствие, оценке материальных и человеческих ресурсов? Ответ прост – с аудита информационной системы. Но об этом в следующей статье.