Информационная безопасность – это предотвращение любых несанкционированных действий с данными. Обеспечение информационной безопасности важно и для электронных, и для бумажных данных. Главное требование информационной безопасности – полноценная защита конфиденциальной информации, обеспечение ее целостности при полном отсутствии риска нанести ущерб работе предприятия.

Обеспечение информационной безопасности представляет собой комплекс организационных и технических мероприятий, которые должны выполняться в компании в соответствии с разработанной политикой и другими документами, регламентирующими это направление деятельности предприятия.

Выбирать автоматизированную систему, независимо от ее уровня (основная, вспомогательная), нужно в соответствии с отдельным проектом, который должен оформляться документами – техзаданием, техническими требованиями. В них определяются критерии оценивания всех параметров системы, такие как бизнес-функции, информационная архитектура, интерфейсы, требования к построению на предприятии системы информационной безопасности (как подсистемы общей безопасности). Уровень значимости каждого параметра для предприятия в целом определяется его потребностями и особенностями ведения деятельности.

Необходимый опыт и обязанности специалистов, отвечающих за информационную безопасность

Несмотря на то, что профессии, связанные с информационной безопасностью, достаточно популярные, отмечается острая нехватка высококвалифицированных работников.

Есть несколько групп работников, выполняющих функции по защите информации и обеспечению в компании информационной защиты. Каждая специальность имеет свои особенности, такой персонал может иметь разный размер зарплаты, а также специфические требования к обязанностям и наличию определенных навыков.

Специалисты по информационной безопасности (начальный уровень)

Средняя зарплата профессионалов в сфере информационных технологий составляет около 50-70 тысяч рублей в месяц.

К основным обязанностям таких работников относятся:

• наблюдение за межсетевыми экранами;
• наблюдение за сетевыми экранами администрации серверов по антивирусной безопасности, проведение мониторинга пользователей, уничтожение вирусных файлов, настройка системной защиты информации;
• поисковая работа, чтобы выявить наличие угроз при помощи конкретного ПО, и уничтожить их;
• регулярное обновление операционной системы, средств защиты информации, общего сетевого устройства;
• управление технологическими процессами;
• оптимизация работы по ИБ.

Главные требования к сотрудникам:

• умение работать в операционной системе Линукс, а также уверенная работа в поисковой строке;
• настройка объектов защиты.

Работники, обеспечивающие информационную безопасность

Опыт работы составляет от трех до шести лет. Эти специалисты получают зарплату на порядок выше (от 70 до 100 тысяч рублей). Они подразделяются на две группы: сотрудники, занимающиеся исключительно работой с программами, и специалисты, обеспечивающие внутреннюю безопасность. Все они отлично разбираются в автоматизированных системах, хорошо владеют информационными программами, техникой.

К основным умениям профессионала по защите информационного ресурса относятся:

• обеспечение политики информационной безопасности;
• умение управлять средствами безопасности;
• навык написания скриптов по оптимизированию защиты.
• К общим требованиям относятся:
• знание принципа работы информационных систем;
• умение предотвратить несанкционированный доступ к базе данных.

Пентестер

Это одна из высокооплачиваемых специальностей в сфере ИТ-технологий (схожая с предыдущей профессией). Отличием данной профессии от предыдущей является умение тестировать ПО на возможное проникновение в него злоумышленников.

В обязанности входит:

• проведение тестирования информационно-программной продукции;
• анализ информационной системы на устойчивость к отменам;
• выполнение основных процессов по выявлению актуальных угроз системе и их уничтожение;
• контроль и анализ обеспечения безопасности кодировки программного продукта.

Требования по ИБ автоматизированных банковских систем

Давайте подробнее разберемся с требованиями к обеспечению ИБ автоматизированных банковских систем и к специалистам, которые должны защищать информацию.

Существует два вида ключевых требований к системам по ИБ: стандартные и узкоспециальные.

Общие требования: автоматизированная система должна гарантировать хранение конфиденциальной информации.

Автоматизацию надо организовать так, чтобы обеспечивалось выполнение следующих требований:

• запрет на получение доступа к ПК вне рабочего процесса;
• возможность перемещения данных из системы только под системной защитой.

Специальные требования – это сложный уровень защиты конфиденциальных сведений компании от взлома, распространения и уничтожения.

К специальным требованиям относятся следующие позиции:

• работа информационных ресурсов обязательно должна быть идентифицирована;
• необходимо проведение идентификации и аутентификации.

Основное средство аутентификации – это схема «имя организации и пароль». Всегда должна быть возможность проведения дифференциации считывания информации.

Требования к парольной политике:

• максимальное количество символов в пароле;
• архив смены паролей;
• общий определитель стандартного и низкого уровня пароля;
• наличие требований ввести предыдущий пароль при желании заменить его новым.

К дополнительным и общим требованиям к работе с системами информационной безопасности относятся:

• возможность изменять пароль не только пользователем, но и администратором, который защищает информационную базу данных;
• когда в информационную систему входит непосредственно сам специалист, то обязательно должно выскакивать общее предупреждение о запрещенности использовать чужие пароли для несанкционированных доступов;
• когда специалист заходит в систему информационной безопасности, он должен ознакомиться с информацией о предыдущем входе, историей выполненных ранее действий в системе, числом допущенных ошибок во время ввода пароля с точной датой и временем;
• бюджет клиента системы должен иметь привязку к определенному рабочему ПК (сетевому адресу), к определенному времени рабочего процесса с точным указанием дней недели и часов интерактивного использования информационного устройства; для удаленных работников нужно ввести отдельный регламент работы с информацией.

Основные требования к информационной безопасности

Общепринятым методом войти в систему во время атаки на информационные ресурсы является вход при помощи официального логин-запроса. Технические средства, позволяющие выполнить вход в нужную систему, – логин и пароль. 

При авторизации стоит придерживаться нескольких общих требований:

1. Обеспечение высокого уровня безопасности. Терминал (точка входа активного пользователя в информационную систему), не имеющий специальной защиты, используется исключительно на том предприятии, где доступ к нему получают работники с наивысшим квалификационным уровнем. Терминал, который установлен в публичном общественном месте, должен всегда иметь уникальный логин и пароль сложного уровня. Это необходимо для того, чтобы обеспечить полноценную информационную безопасность.
2. Наличие систем контроля за общим доступом в помещение, где установлено оборудование, на котором хранится информация предприятия, в архивные помещения и другие места, которые являются уязвимыми с точки зрения информационной безопасности.

Если используются удаленные терминалы, в компании должны соблюдаться такие основные требования:

• Все удаленные терминалы обязаны посылать запрос на ввод логина и пароля. Доступ без ввода пароля должен быть запрещен.
• Если есть возможность, то в качестве обеспечения информационной защиты надо применить схему так называемого возвратного звонка от модема. Только она, используя уровень надежности автоматической телефонной станции, дает подтверждение, что удаленные пользователи получили доступ с конкретного номера телефона.

К главным требованиям по информационной безопасности во время идентификации пользователей по логину и паролю относятся следующие:
у каждого пользователя должен быть пароль высокого уровня сложности для того, чтобы войти в систему;

• пароли надо подбирать очень тщательно, информационная емкость пароля должна соответствовать общим стандартам (наличие заглавных букв, цифр);
• пароль, установленный по умолчанию, надо изменить до того, как будет произведен официальный запуск системы;
• каждая ошибка входа в систему обязательно записывается в общий журнал архивных событий, анализируется спустя конкретный промежуток времени; это необходимо для того, что администратор мог выявить причину возникновения ошибок;
• на момент отправления пакетов с подтверждением или отказом введения пароля система должна быть приостановлена на пять секунд, благодаря этому хакеры не смогут вводить большое количество разных паролей, чтобы обойти информационную защиту.

Для полноценного обеспечения защиты от взлома пароля надо выполнить ряд требований:

• для обеспечения защиты информации потребуется подключить двухэтапную аутентификацию;
• подключить защиту от изменения паролей – хакеры могут попытаться воспользоваться таким способом войти в информационную систему, как «забыли пароль – изменить».

Чтобы специалисты могли обеспечить информационную безопасность всех данных, руководитель компании обязан проводить инструктажи для работников на тему «Предотвращение утечки информации». Важно, чтобы работники предприятия знали о возможных опасностях, которые могут возникнуть в случае, если персональные компьютеры на какой-либо промежуток времени остаются без присмотра. Особенно это касается тех ПК, которые не имеют закрытых от постороннего доступа паролей и находятся в публичном месте или офисе.