Что такое информационная безопасность автоматизированных систем и как ее обеспечить
Во многих компаниях есть автоматизированные системы (OkoCRM, СБИС, Docsvision, «Мой склад» и другие), которые облегчают работу и делают ее более эффективной. Но чем больше функций выполняет каждая система и чем больше сотрудников в ней присутствует, тем выше количество уязвимостей. Информационная безопасность нужна для того, чтобы защитить конфиденциальные данные. Разбираемся, как ее обеспечить.
Что такое информационная безопасность автоматизированных систем
Безопасность автоматизированной системы — это защита всех ее составляющих от несанкционированного доступа. Существуют следующие методы поддержания безопасности: аутентификация пользователей, регламентирование доступа к объектам, шифрующая система файлов, ключи, безопасные соединения.
Аутентификация
Суть метода
Система проверяет, является ли пользователь тем, за кого себя выдает. Для этого используется идентификатор. Им может быть пароль, отпечатки пальцев, рисунок радужной оболочки глаза и другие опознавательные знаки.
Достоинства
- Считается надежным, особенно когда используется одноразовый или динамически меняющийся пароль.
- Можно использовать комбинированные методы аутентификации, при которых система запрашивает и пароль, и физическую карточку (token).
Ограничения
- Аутентификация с помощью биометрических данных только развивается, требует сложного и дорогостоящего оборудования.
- Если для входа в систему пользователю нужно ввести код из СМС-сообщения, то сделать это при разряженном аккумуляторе не получится.
Что почитать
Регламентирование доступа к объектам
Суть метода
Администратор устанавливает набор действий, которые пользователь может выполнять при работе с информацией. Например, разрешает чтение, запись и хранение данных и запрещает удаление.
Достоинства
- Считается главным средством защиты от несанкционированного доступа.
- Позволяет разграничить доступ пользователей.
- Служба безопасности может следить за действиями сотрудников, у которых есть доступ к информации.
Ограничения
- При приеме на работу нового сотрудника доставляет определенные сложности: приходится настраивать аккаунт, обучать специалиста аутентификации, следить за выполнением всех регламентов.
Что почитать
Шифрующая система файлов
Суть метода
Все данные защищаются от несанкционированного доступа путем шифрования. Самый простой способ — архивировать файл и установить пароль для дешифровки, который будет храниться в определенном пуле памяти.
Достоинства
- Позволяет защитить данные в том числе от физического чтения.
- Не доставляет неудобств сотруднику — при чтении файла данные автоматически расшифровываются, а при записи — автоматически шифруются.
- Восстановление данных осуществляется только через сотрудника, который отвечает за их безопасность.
Ограничения
- Отсутствуют.
Что почитать
Ключи
Суть метода
Это аппаратный способ контроля доступа, при котором включить компьютер можно только с помощью электронного ключа.
Достоинства
- При потере ключа войти в систему не получится, если отключена возможность ввода пароля.
Ограничения
- Не все программы позволяют совершить аварийный вход при потере ключа.
Что почитать
- «Искусство защиты и взлома информации» Д.В. Склярова.
Безопасные соединения
Суть метода
Безопасное соединение (VPN) защищает конфиденциальные данные. Оно шифрует интернет-трафик и скрывает сведения от посторонних. Благодаря этому злоумышленники не могут отследить действия пользователя в сети.
Достоинства
- Гарантирует надежную защиту конфиденциальных данных.
- Считается одним из самых недорогих способов защиты.
Ограничения
- В некоторых VPN-сервисах могут возникнуть уязвимости в системе безопасности.
- Доставляет определенные трудности для сотрудника: если не настроить автоматическую активацию сервиса, то включать и выключать VPN придется вручную.
Что почитать