Безопасность современных ИС как процесс управления рисками
|
| В Windows 2000 предусмотрены следующие механизмы: аутентификация пользователей, разграничение доступа к ресурсам, защита информации и сетевых ресурсов |
Учебные центры компаний SoftLine и «Информзащита» провели ознакомительный семинар для своих клиентов, который назывался «Безопасность современных информационных систем». На нем инструкторы обоих учебных центров рассказали о том, как надо организовать процесс защиты корпоративной сети. Дмитрий Егоров, инструктор центра «Информзащиты» отметил: «Безопасность информационной системы — это не продукт или услуга, а процесс, в котором участвуют все сотрудники и клиенты предприятия». Важно научиться правильно управлять этим процессом с помощью концепции управления рисками.
Защитные системы призваны снизить вероятность наступления аварии или уменьшить потенциальный ущерб от нее. Можно выделить шесть типов рисков, угрожающих предприятию: стихийные бедствия, аварии оборудования, юридические риски, ошибки реализации и эксплуатации, а также внешние нападения. Первые три называются объективными, и с ними система безопасности справиться не в состоянии. Зато различного рода ошибки и нападения можно свести к минимуму. Именно для этого предназначены практически все инструменты обеспечения информационной безопасности, которых Егоров выделил десятка полтора.
Собственно, большинство инструментов уже реализовано в ОС, а чтобы они заработали, достаточно выполнить правильную настройку. В частности, в Windows 2000 предусмотрены следующие механизмы: аутентификация пользователей, разграничение доступа к ресурсам, защита информации и сетевых ресурсов.
В любой системе безопасности важная роль отводится людям. Каждый пользователь одновременно является частью информационной системы, потенциальным нарушителем и элементом системы безопасности. Даже простое соблюдение правил безопасности значительно снижает риск угрозы. Но только лишь использования технических методов защиты часто недостаточно для уменьшения риска потерь, нужны еще и организационные меры. Оба учебных центра предлагают целый набор курсов, которые позволяют подготовить квалифицированные кадры для защиты информационных систем практически любой сложности.