Информационная безопасность организаций малого и среднего бизнеса

В современном обществе, информационные технологии преподнесли огромный вклад в жизнедеятельность бизнеса. Обеспечение защиты информации в организации – это непрерывный и обязательный процесс, который предполагает использование различных методов, позволяющих держать под контролем внутреннюю и внешнюю среду компании, а также реализовывать всевозможные меры по поддержке оборудования, локальных сетей и конечно же минимизация возможных утечек информации.

Многие организации малого и среднего бизнеса ошибочно думают, что хакеров привлекают исключительно крупные предприятия, из-за этого руководство не уделяет должного внимания вопросам информационной безопасности, и не считает нужным, нанимать грамотных специалистов в области ИБ, отсюда и получается главная проблема – нехватка квалифицированных ИТ-специалистов.

Также, из-за этого ошибочного мнения, организации часто экономят на программном обеспечении, пользуются бесплатным или нелицензионным. Для небольших компаний, антивирусная база данных, которая не обновлялась в течение долгого времени из-за заблокированных лицензий на ПО, является нормальным явлением.

Так же хочется отметить, что коронавирусная эпидемия принесла много проблем для организаций малого и среднего бизнеса: изоляция, карантин, сокращение персонала и оборотов компании, огромные финансовые потери и переход на удаленную работу, ощутимый рост киберпреступлений. За два года, около 30% предприятий малого и среднего бизнеса завершили свою деятельность.

Как защитить от угроз информационной безопасности малый и средний бизнес в наше время, какие меры предпринять для этого. В этом и заключается актуальность данной дипломной работы.

Объектом исследования является деятельность по обеспечению информационной безопасности для организации.

Предметом исследования является разработка рекомендаций и методов по обеспечению информационной безопасности организации.

Целью выполнения выпускной квалификационной работы является разработка методов и рекомендаций для обеспечения информационной безопасности в организации.

Для достижения цели выпускной квалификационной работы необходимо решить следующие задачи:

рассмотреть сущность информационной безопасности;

изучить классификации угроз информационной безопасности;

исследовать нормативно-правовое обеспечение информационной безопасности организаций;

рассмотреть угрозы и методы защиты информации организаций малого и среднего бизнеса;

сформировать систему информационной безопасности организации;

разработать методы и рекомендаций для обеспечения информационной безопасности в организации.

Работа состоит из введения, трех глав, заключения, списка используемых источников, а также приложения.

В первой главе будут рассмотрены теоретические аспекты ИБ, классификация угроз ИБ и нормативно-правовые акты.

Во второй главе выпускной квалификационной работы будет рассмотрено состояние, основные проблемы информационной безопасности малого и среднего бизнеса, угрозы и методы защиты таких организаций.

В третьей главе будет проанализирована деятельность организации, а также будет произведена реализация методов обеспечения информационной безопасности.

1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОРГАНИЗАЦИИ

1.1 СУЩНОСТЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

  Прежде чем начать ознакомление с сущностью информационной безопасности, ознакомимся с понятиями «информационная безопасность» и «информация», которые закреплены в текущем законодательстве Российской федерации.

  В соответствии с Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»:

Информационная безопасность – это практика предотвращения несанкционированного доступа, искажения, использования, исследования, раскрытия, изменения, записи или уничтожения информации [21];

Информация – сообщения, сведения или данные независимо от формы их представления [21].

Каждая частная или государственная компания обязана надежно и результативно обеспечивать ИБ. Это важно, поскольку, технологии непрерывно совершенствуются, а область применения ПК и другого оборудования увеличивается. Цели информационной безопасности формируют из задач, которые ставят перед кибербезопасностью отдельной компании.

Данные нужно защищать везде — от порталов государственного уровня до ресурсов отдельных пользователей. Помимо непосредственного обеспечивания безопасности, необходимо каждому пользователю предоставлять достоверную и качественную информацию, а еще проявлять правовую поддержку при работе с данными. Поэтому основная цель информационной безопасности — создать условия, которые обеспечат качественную и действенную защиту важных данных от предумышленного либо случайного вмешательства. Последнее способно нанести ущерб, изменить, удалить или иным методом воздействовать на конфиденциальную информацию. В отрасли бизнеса, ИБ содержится в числе прочих мер обеспечения постоянства коммерческих процессов.

Чем существеннее информация, тем сильнее ей необходима защита. Непрерывно развивающиеся инструменты информационной безопасности прослеживают всевозможные изменения в системном коде и попытки несанкционированного вторжения в информационное хранилище. Если уделять кибербезопасности мало средств и времени, то могут появиться серьезные последствия в виде заражения вредоносными кодами, утери важнейших данных, незаконного доступа сторонних лиц к базе данных и т. д. Основная задача информационной безопасности — всячески ограничить схожие ситуации и предусмотреть все возможные угрозы. Чем выше надежность системы, тем ниже вероятность взлома.

Для достижения целей, стоящих перед информационной безопасностью, а также для внедрения системы ИБ в организации необходимо следовать трем главным принципам [12]:

• конфиденциальность.Это означает, что необходимо ввести в действие контроль для того, чтобы гарантировать сильный уровень безопасности с данными организации, информацией и активами на разных стадиях деловых операций для предотвращения несанкционированного либо нежелательного раскрытия. Конфиденциальность нужно поддерживать при сохранении информации, а еще при транзите чрез рядовые компании независимо от ее формата;
• целостность.Целостность относится к средствам контроля, которые обеспечивают внутреннюю и внешнюю последовательность корпоративной информации. Целостность также гарантирует, что информация не будет повреждена;
• доступность.Доступность обеспечивает надежный и оперативный доступ к сведениям уполномоченных лиц. Сетевой среде необходимо вести себя предсказуемым образом, чтобы при необходимости получать доступ к информации и данным. Восстановление после системного сбоя является важным фактором, когда речь идет о доступности информации, и такое восстановление также должно обеспечиваться таким образом, чтобы не оказывать неблагоприятного воздействия на работу.

Целей ИБ можно добиться не только, придерживаясь принципов информационной безопасности, но и исполняя обязательный контроль, который делится на 3 разновидности [5]:

• административный.В административный вариант контроля входит: утверждение процедур, принципов и стандартов. Он формирует границы для управления сотрудниками и ведения бизнеса. Нормативные акты и законы, которые создали госорганы, тоже являются видом административным контролем. Иные примеры административного контроля включают политику паролей, найма, корпоративной безопасности и дисциплинарные меры;
• логический.Логические средства контроля (технические средства контроля) основываются на защите доступа к информационным системам, паролям, программному обеспечению, брандмауэрам, а также, информации, которая используется для мониторинга и контроля доступа к информационным системам;
• физический.Это вариант контроля рабочего места и вычислительных средств (отопление и кондиционирование воздуха, противопожарные системы, дымовые и пожарные сигнализации, баррикады, камеры, замки, двери и др.).

Также хочу сказать про объекты информационной безопасности. К объектам ИБ относятся любые информационные ресурсы, которые необходимо защищать от несанкционированного доступа. Это — разнообразные порталы, где пользователям предоставляют уникальные сведения (аналитические и системные организации, работающие с информацией, в т. ч. и личными пользовательскими данными), официальные сайты СМИ, локальные сети предприятий. Объектами ИБ являются и глобальные системы, которые создают, размещают и распространяют данные в сети, шифраторы, юридическая помощь юзерам, особое программное обеспечение, а также защита интеллектуальной собственности и закрытой информации. Далее мы рассмотрим какая бывает информация и как ее защищают.

Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица [16].

Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.

Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.

Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.

Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует 152-ФЗ — закон, который обязывает охранять эту информацию [19].

Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.

Компания сама решает, что считать коммерческой тайной, а что выставлять на всеобщее обозрение. При этом не вся информация может быть коммерческой тайной — например, нельзя скрывать имена учредителей юрлица, условия труда или факты нарушения законов. Подробнее о коммерческой тайне рассказывает закон 98-ФЗ [18].

Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.

Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Теперь перейдем к видам угроз информационной безопасности.

1.2 КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Следующую главу данной выпускной квалификационной работы начнем с формулировки понятия «угроза».

Угрозы ИБ представляют собой воздействия, которые приводят к сбою защиты важных сведений, или вероятные события, нанесённые вред компьютерным и информационным системам.

Угрозами определяют некоторые их типы, во время которых осуществляется воздействие на носители информации, а действия, которые способствуют незаконное распространение носителей информации к злоумышленнику, характеризуются определением «угрозы утечки информации» [30].

Система ИБ ведёт сопротивление с разного рода угрозами, которые повреждают функциональность систем, фальсифицируют сведения, похищают высокой важности информацию.

Угрозы ИБ выражаются при помощи возможных содействий с особо слабыми уровнями системы защиты, иными словами, путём факторов уязвимости. Угроза вызывает нарушение работы систем на определённом объекте-носителе.

В основном все уязвимости появляются вследствие действий следующих обстоятельств [30]:

• недоработка ПО;
• различные свойства структуры автоматизированных систем в потоке информации;

Citilitk: [сайт]. – URL:https://www.citilink.ru/ (дата обращения 27.05.2022.). – Текст: электронный;

DNS: [сайт]. – URL:https://www.dns-shop.ru/ (дата обращения 27.05.2022.). – Текст: электронный;

URL: https://safesurf.ru/specialists/article/5249/634768/ (дата обращения 27.05.2022.);

Банк данных угроз безопасности информации ФСТЭК. – Текст: электронный//Федеральная служба по техническому и экспортному контролю: [сайт] – URL: https://bdu.fstec.ru/threat (дата обращения 27.05.2022.);

Девянин П.H. Информационная безопасность предприятия: учебник/

Диева С.А. Организация и современные методы защиты информации/ С.А. Диева - М.: Концерн «Банковский деловой центр», 1998. – 472с;

ИБ малого и среднего бизнеса – статистика против заблуждений. – Текст: электронный // vc.ru : [сайт] – URL: https://vc.ru/services/215563-ib-malogo-i-srednego-biznesa-statistika-protiv-zabluzhdeniy (дата обращения 27.05.2022.);

Инструкции и регламенты информационной безопасности. – Текст: электронный // безопасность пользователей в сети интернет : [сайт]. – 

Информационная безопасность в компании. – Текст: электронный // TADVISER [сайт]. – URL: www.tadviser.ru (дата обращения 27.05.2022.);

Информационная безопасность организации. – Текст: электронный // ОЛЛИ информационные технологии. – [сайт]. - URL:https://www.olly.ru/blog/informacionnaya-bezopasnost-organizacij/ (дата обращения 27.05.2022.);

Информационная безопасность предприятия: ключевые угрозы и средства защиты. – Текст: электронный// Traffic inspector next generation: [сайт]. – URL: https://www.smart-soft.ru/blog/informatsionnaja-bezopasnost/ (дата обращения 27.05.2022.);

Каталог технических средств. – Текст: электронный // бюро научной технической информации: [сайт]. – URL: www.bnti.ru (дата обращения 27.05.2022.);

Комплексная информационная безопасность. – Текст: электронный // ДиалогНаука: [сайт]. – URL: https://www.dialognauka.ru/obespechenie/informacionnoi-bezopasnosti/,(дата обращения 27.05.2022.);

Куприянов А.И. Основы защиты информации: учеб. Пособие для студ. высш. учеб. заведений/ А.И.Куприянов, А.В.Сахаров, В.А. Шевцов -- М.: Издательский центр «Академия», 2006. – 256 с;

М.Видео: [сайт]. – URL:https://www.mvideo.ru/ (дата обращения 27.05.2022.). – Текст: электронный;

Методы защиты информации. – Текст: электронный// интегрус.ru [сайт]. – URL: https://integrus.ru/ /tehnicheskaya-zashhita-informatsii.html (дата обращения 27.05.2022.);

Методы и способы защиты корпоративной информации. – Текст: электронный // vk cloud solutions [сайт]. – URL : https://mcs.mail.ru/blog/ (дата обращения 27.05.2022.);

Москвитин, Г.И. Комплексная защита информации в организации / Г.И. Москвитин. - М.: Русайнс, 2017. – 400 c;

О коммерческой тайне: Федер. Закон №98-ФЗ: принят Гос. Думой 09.07.2004 г. – Москва: Совет Рос. Федерации 2004;

О персональных данных: Федер. Закон №152-ФЗ принят Гос. Думой 27.07.2006 г. – Москва: Совет Рос. Федерации 2006;

О развитии малого и среднего предпринимательства в Российской Федерации.: Федер. Закон №209-ФЗ принят Гос. Думой 24.07.2007 г. – Москва: Совет Рос. Федерации 2007;

Об информации, информационных технологиях и о защите информации: Федер. Закон № 149-ФЗ: принят Гос. Думой 27.07.2006 г. Москва: Совет Рос. Федерации, 2006;

Обеспечение информационной безопасности. – Текст: электронный // Уральский центр систем безопасности [сайт]. – URL: https://www.ussc.ru/solution (дата обращения 27.05.2022.);

Оборудование для СКУД. – Текст: электронный// промышленные системы ЕК [сайт]. – URL: www.psystem66.ru (дата обращения 27.05.2022.);

Организационные методы защиты информации. – Текст: электронный // studwood.net [сайт]. – URL: https://studwood.net (дата обращения 27.05.2022.);

Организация обеспечения информационной безопасности. – Текст: электронный// cisoclub [сайт]. – URL: https://cisoclub.ru/organizacziya-obespecheniya-informaczionnoj-bezopasnosti/ (дата обращения 27.05.2022.);

Особенности обеспечения информационной безопасности предприятий малого и среднего бизнеса. – Текст: электронный// научная электронная библиотека [сайт]. – URL: https://cyberleninka.ru (дата обращения 27.05.2022);

П.Н. Девянин, А.А. Садердинов, В.А. Трайнев B.A. – Москва, 2006. – 335 с;

Практические правила управления информационной безопасностью: ГОСТ Р ИСО/МЭК 17799-2005: нац. Стандарт: дата введения 2007-01-01. – Москва;

Сидорин Ю.С. Технические средства защиты информации: учебное пособие / Ю.С. Сидорин. - Москва: Изд-во Политехн. ун-та, 2005. – 141 с;

Средства защиты информации. – Текст: электронный // экосистема продуктов для бизнеса [сайт]. -  URL: kontur.ru/articles/574 (дата обращения 27.05.2022);

Степанов, Е.А. Информационная безопасность и защита информации: учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2017. - 304 c;

Тематическое издание в сфере ИТ. – Текст: электронный // itsecforu [сайт]. - URL: https://itsecforu.ru, (дата обращения 27.05.2022.);

Техническая лаборатория. – Текст: электронный. - URL: https://www.techlaboratory.ru/product/m1-150/ (дата обращения 27.05.2022.);

Технический регламент о требованиях пожарной безопасности: Федер. Закон №123-ФЗ: принят Гос. Думой 22.07.2008 г. – Москва: Совет Рос. Федерации, 2008;

Техническое обеспечение информационной безопасности. – Текст: электронный // information security [сайт]. – URL: https://searchinform.ru/informatsionnaya-bezopasnost/ (дата обращения 27.05.2022.);

Угрозы информационной безопасности. – Текст: электронный // anti-malware [сайт]. – URL: https://www.anti-malware.ru/threats/information-security-threats (дата обращения 27.05.2022.);

Угрозы информационной безопасности. – Текст: электронный // ARinteg [сайт]. – URL: https://arinteg.ru/articles/ugrozy-informatsionnoy-bezopasnosti-25800 (дата обращения 27.05.2022.);

Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства: учебное пособие / Шаньгин В. Ф. - Москва: ДМК Пресс, 2010. - 544 с;

Эльдорадо: [сайт]. – URL:https://www.eldorado.ru/ (дата обращения 27.05.2022). – Текст: электронный;

Ярочкин В.И. Информационная безопасность: учебник для студентов вузов. – М.: Академический Проект; Гаудеамус, 2-е изд. – 2004. – 544 с;

Ярочкин В.И. Политика информационной безопасности: учебное пособие / Ярочкин В.И; Гаудеамус, 1-е изд. – 2007. – 322 с.