Совершенствование системы информационной безопасности на предприятии ОАО "Авиадвигатель", г. Пермь
1.5 Меры обеспечения информационной безопасности
Информационное пространство любой компании составляют локальная сеть, электронная почта, базы данных и рабочие файлы. Основные меры обеспечения информационной безопасности на предприятиях: защита информации в организации должна осуществляться комплексно, а для этого необходимо представлять, какого рода угрозы безопасности существуют.
Угрозы могут быть внутренние (занесение сотрудниками в сеть вируса или кража ими информации) или внешние (хакерская атака), непреднамеренные (случайное удаление каких-либо данных) и преднамеренные (например, использование вредоносного ПО). Целью может быть получение, уничтожение, изменение существующих данных или внесение новых. Невозможно защититься от всех угроз безопасности разом, т.к. нельзя предусмотреть все возможные действия злоумышленников, а тем более, потенциальные ошибки пользователей. Но можно выделить несколько общих методов защиты, позволяющих понизить возможности для реализации большей части атак и ошибок.
В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.