Международный научный журнал «ВЕСТНИК НАУКИ» №2 (2). ______________________ МАЙ 2018 г.

_________________________________________________________________________________________

УДК 622.323
Албаков Ислам Даудович
Донской государственный технический университет
(Россия, г. Ростов-на-Дону)

ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В статье проанализированы и определены основные угрозы информационно-коммуникативной

системе предприятия и их влияние на деятельность предприятия. Приведены определения понятия
информационной безопасности. Рассмотрены принципы информационной безопасности, а также
основные этапы построения политики информационной безопасности. Представлены подсистемы
эффективной защиты информации.

Ключевые слова: информационная система, безопасность, контроль доступа,

конфиденциальность, информация.

Оптимальной практикой обеспечения информационной безопасности, является использование

системного метода, когда безопасность воспринимается как комплексное явление и может быть
обеспечено путем контроля за всеми элементами системы.
Проведенные исследования позволили определить, что для эффективного выполнения такой задачи
необходима система соответствующего методического обеспечения. Основными элементами такой
системы являются принципы построения системы информационной безопасности, целевые
характеристики системы, ее задачи, основные угрозы и меры по нейтрализации угроз. Одним из базовых,
основных элементов системы информационной безопасности промышленных предприятий выступают
принципы, которые должны быть положены в основу ее построения.
Для предприятий основными принципами информационной безопасности являются: простота,
полный контроль, общий запрет, открытая архитектура, разграничение доступа, минимальные
привилегия, достаточная устойчивость, минимизация дублирования. [1]
Рассмотрим принципы информационной безопасности подробно:
1. Простота. Этот принцип информационной безопасности отмечает, что простота использования
информационной системы способна обеспечить минимизацию ошибок. Процесс эксплуатации
информационной системы обязательно сопровождается непреднамеренными ошибками со стороны
пользователей и администраторов системы, результатом которых может стать снижение уровня
информационной безопасности. Понятно, что осложнения осуществляемых пользователями и
администраторами операций и процедур приводит к росту количества таких ошибок. Для снижения
количества ошибок простота использования системы является необходимым условием. Однако, простота
использования не значит простоту архитектуры и снижение требований к функциональности системы
информационной безопасности.
2. Полный контроль. Выполнение этого принципа предусматривает организацию непрерывного
контроля за состоянием информационной безопасности и мониторинг всех событий, влияющих на
информационную безопасность. Предусматривают такую архитектуру системы, которая позволяла бы
осуществлять контроль доступа к любому объекту информационной системы, блокировать
нежелательные действия и быстро восстанавливать нормальные параметры информационной системы.
3. Общий запрет. Запрещено все, на что нет разрешения. Доступ к объектам информационной
системы возможен только при наличии соответствующего разрешения, предоставляемого в соответствии
с действующими нормативными документами по организации работы информационной системы. Однако
важно понимать, что система информационной безопасности направлена на предоставление разрешения,
а не запреты любых действий. Указанный принцип предполагает, что в информационной системе
возможно выполнение только известных безопасных действий. Система не настраивается на поиск и
распознавание какой-либо угрозы, поскольку такой путь построения системы информационной
безопасности очень ресурсоемким, и делает невозможным обеспечение достаточного уровня
информационной безопасности.
__________________________________________ 10 ________________________________________
Международный научный журнал «ВЕСТНИК НАУКИ» №2 (2). ______________________ МАЙ 2018 г.
_________________________________________________________________________________________

4. Открытая архитектура информационной системы. Этот принцип информационной безопасности

заключается в том, что безопасность должна обеспечиваться за неясности. Попытки защитить
информационную систему от компьютерных угроз путем усложнения, запутывания и сокрытия слабых
мест ИС, оказываются в конечном итоге несостоятельными и только откладывают успешную хакерскую,
вирусную или инсайдерскую атаку.
5. Разграничение доступа. Данный принцип информационной безопасности заключается в том, что
каждому пользователю предоставляется доступ к информации и ее носителей в соответствии с его
полномочиями. При этом исключена возможность превышения полномочий. Каждой роли / должности /
группе можно назначить свои права на выполнение действий (чтение / редактирование / удаление) над
определенными объектами ИС. 6. Минимальные привилегии. Принцип минимальных привилегий
заключается в выделении пользователю малейших прав и доступа к минимуму необходимых
функциональных возможностей программ. Такие ограничения, тем не менее, не должны мешать
выполнению работы.
7. Достаточная устойчивость. Этот принцип информационной безопасности выражается в том, что
потенциальные злоумышленники должны встречать препятствия в виде довольно сложных
вычислительных задач. Например, необходимо, чтобы взлом паролей доступа требовал от хакеров
неадекватно больших промежутков времени и / или вычислительных мощностей.
8. Минимизация дублирования. Предусматривает минимизацию идентичных процедур. Этот
принцип информационной безопасности заключается в том, что в системе информационной безопасности
не должно быть общих для нескольких пользователей процедур, таких как введение пароля. В этом случае
масштаб возможной хакерской атаки будет меньше.
Построение по приведенным принципам системы информационной безопасности должно быть
настроено на достижение определенных целей, специфика которых будет во многом определять как
структуру системы, так и основные параметры ее функционирования.
Основными целями достижения высокого уровня информационной безопасности является
обеспечение конфиденциальности, целостности, доступности, достоверности и неотказуемости
информации.
Главными этапами построения политики информационной безопасности являются: [2]
1. Регистрация всех ресурсов, которые должны быть защищены;
2. Анализ и создание перечня возможных угроз для каждого ресурса;
3. Оценка вероятности появления каждой угрозы;
4. Принятие мер, которые позволяют экономически эффективно защитить информационную
систему.
Большинство специалистов в области защиты информации считают, что информационная
безопасность поддерживается на должном уровне, если для всех информационных ресурсов системы
поддерживается соответствующий уровень конфиденциальности (невозможности
несанкционированного получения любой информации), целостности (невозможности преднамеренной
или случайной ее модификации) и доступности (возможности оперативно получить запрашиваемую
информацию).
Можно выделить следующие подсистемы эффективной защиты информации на предприятии: [4]
1. Антивирусная защита шлюзов входа в Интернет, серверов с данными, персональных рабочих
компьютеров, централизованного управления.
2. Управления контролем доступа и идентификацией в информационной системе.
3. Межсетевое экранирование, которое обеспечивает безопасность межсетевого взаимодействия
через программные и программно-аппаратные межсетевые экраны.
4. Криптографическая защита, гарантирующая конфиденциальность передачи данных с помощью
алгоритмов шифрования.
5. Обеспечение целостности программной среды и информации путем использования
соответствующих средств для контроля и фиксации состояния программного комплекса, управления
хранением данных для резервного копирования и архивирования.
6. Защита от инсайдеров, контролирующая действия нарушителей, которая реализует
информационную безопасность при управлении доступом и регистрации.
__________________________________________ 11 ________________________________________
Международный научный журнал «ВЕСТНИК НАУКИ» №2 (2). ______________________ МАЙ 2018 г.
_________________________________________________________________________________________

7. Защита систем управления базами данных.

8. Обнаружение вторжений и попыток несанкционированного доступа к информационным ресурсам
предприятия. Подсистема обеспечивает реализацию защитных мероприятий по противодействию атакам
хакеров и распространению спама.
9. Защита мобильных устройств.
10. Мониторинг событий информационной безопасности, которая позволяет своевременно выявлять
угрозы информационной системе и оперативно реагировать на них.
Сегодня специализированные фирмы предлагают широкий спектр средств защиты информационных
систем с учетом их стоимости и функциональных возможностей. Наиболее приемлемым подходом при
выборе того или иного варианта является соблюдение принципа «разумной достаточности», суть
которого заключается в том, что определяющими при проектировании политики информационной
безопасности должны быть: размер предприятия, его ресурсные и финансовые возможности, текущий
уровень информационной безопасности, стадия функционирования фирмы.
Постоянная работа в сфере поддержки информационной безопасности на должном уровне является
необходимым условием эффективности предпринимательской деятельности. [3]
В то же время безопасность информационной системы следует рассматривать как важную
составляющую общей безопасности предприятия. В этом плане стоит взять для примера успешные
практики зарубежных компаний, где защита информации предполагает не только наличие программных
продуктов, но и использование специальных протоколов и процедур, направленных на обеспечение всей
безопасности – криптография, администрирование, механизмы идентификации и др.
Кроме того, практически у каждой компании есть документ, регулирующий политику безопасности,
и информационная безопасность является составной части общей системы.
Целью защиты информации должно быть сохранение ценности информационных ресурсов для их
владельца. Исходя из этого, непосредственные меры защиты направляют не столько на сами
информационные ресурсы, сколько на сохранение определенных технологий их создания, обработки,
хранения, поиска и предоставления пользователям. Эти технологии должны учитывать особенности
информации, которые делают ее ценной, а также давать возможность пользователям различных
категорий эффективно работать с информационными ресурсами.
Таким образом, проведенные исследования особенностей формирования и развития системы
обеспечение информационной безопасности позволяют сделать следующие выводы:
Формирование системы информационной безопасности является сложным управленческим
процессом, который требует использования системного и комплексного подходов к управлению.
Руководителям предприятий следует осознать уровень уязвимости и подойти к решению проблемы
безопасности с должным вниманием.
Для успешного внедрения эффективной системы информационной безопасности необходимо
соответствующее методическое обеспечение этого процесса.

СПИСОК ЛИТЕРАТУРЫ:

1. Алиева, М. Ф. (2012). Информационная безопасность как элемент информационной культуры.

Вестник Адыгейского государственного университета. Серия 1: Регионоведение: философия, история,
социология, юриспруденция, политология, культурология, (4), 97-102.
2. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК
Пресс, 2013. - 474 c
3. Грошева Екатерина Константиновна, & Невмержицкий Павел Иванович (2017). Информационная
безопасность: современные реалии. Бизнес-образование в экономике знаний, (3 (8)), 35-38.
4. Дзебань А.П., & Мануйлов Е.Н. (2017). Информационная безопасность: экзистенциальные
аспекты и сетевые практики., 2 (33), 42-53.

__________________________________________ 12 ________________________________________