Главная » Программы » Информационная безопасность кратко. Обеспечение информационной безопасности предприятия. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Информационная безопасность кратко. Обеспечение информационной безопасности предприятия. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Когда мы говорим об угрозе информационной безопасности, как правило, нам представляется опытный хакер, день и ночь скрупулезно изучающий малейшие бреши в защите баз данных. Однако, как показывает практика, часто беда приходит изнутри компании - по недосмотру, или же по злому умыслу, конфиденциальная информация утекает именно через сотрудников организации.

Целый ряд серьёзных специалистов по информационной безопасности организации называет внутреннюю угрозу важнейшей, отдавая ей до 80% от общего числа потенциальных рисков. Действительно, если рассмотреть средний ущерб от хакерских атак, то он будет близиться к нулю, ввиду большого числа попыток взлома и весьма низкой их результативности. Единичный же случай ошибки персонала или успешного злодеяния инсайдера может стоить компании многомиллионных убытков (прямых и косвенных), судебных разбирательств и дурной славы в глазах клиентов. По факту, под угрозой может оказаться само существование фирмы и это, увы, реальность. Как обеспечить? Как защититься от утечек информации? Как вовремя распознать и предотвратить внутреннюю угрозу? Какие методы борьбы с ней наиболее эффективны сегодня?

Враг внутри

Внутренним злоумышленником, или инсайдером, может стать практически любой сотрудник, имеющий доступ к конфиденциальной информации компании. Мотивация действий инсайдера не всегда очевидна, что влечёт за собой значительные трудности в его идентификации. Недавно уволенный сотрудник, затаивший обиду на работодателя; нечистый на руку работник, желающий подзаработать на продаже данных; современный Герострат; специально внедрённый агент конкурента или преступной группы - вот лишь несколько архетипов инсайдера.

Корень всех бед, которые могут принести злоумышленные действия инсайдеров, кроется в недооценке важности этой угрозы. Согласно исследованию проведённому компанией Perimetrix, утечка более 20% конфиденциальной информации фирмы в большинстве случаев ведёт за собой её крах и банкротство. Особенно частой, но до сих пор наиболее уязвимой жертвой инсайдеров становятся финансовые учреждения, причём любого размера - со штатом от сотни до нескольких тысяч работников. Несмотря на то, что в большинстве случаев компании стараются скрыть или существенно занизить реальные цифры ущерба от действий инсайдеров, даже официально оглашаемые суммы убытков поистине впечатляют. Гораздо больнее финансовых потерь по компании бьёт ущерб репутации фирмы и резкое снижение доверия клиентов. Зачастую, непрямые потери могут многократно превышать фактический прямой ущерб. Так, широко известен случай с лихтенштейнским банком LGT, когда в 2008 году сотрудник банка передал базу данных по вкладчикам спецслужбам Германии, США, Великобритании и других стран. Как оказалось, огромное количество иностранных клиентов банка использовали особый статус LGT для проведения транзакций в обход действующих в их странах налоговых законов. По миру прокатилась волна финансовых расследований и связанных с ними судебных разбирательств, а банк LGT растерял всех своих значимых клиентов, понёс критические потери и вверг весь Лихтенштейн в тяжелый экономический и дипломатический кризис. За совсем свежими примерами тоже не нужно ходить далеко - в начале 2011 года факт утечки персональных данных клиентов признал такой финансовый гигант, как Bank of America. В результате мошеннических действий, из банка утекла информация с именами, адресами, номерами социального страхования и телефонов, номерами банковских счетов и водительских прав, адресами электронной почты, PIN-кодами и прочими личными данными вкладчиков. Едва ли удастся точно определить реальный масштаб потерь банка, если только официально было заявлено о сумме «более 10 миллионов долларов». Причина утечки данных - действия инсайдера, который передавал информацию организованной преступной группе. Впрочем, под угрозой инсайдерских атак не только банки и фонды, достаточно будет вспомнить целый ряд громких скандалов, связанных с публикаций конфиденциальных данных на ресурсе WikiLeaks - по оценке специалистов, изрядная доля информации была получена именно через инсайдеров.

Проза жизни

Непредумышленное причинение вреда конфиденциальным данным компании, их утечка или потеря - вещь куда более частая и прозаическая, чем вред, наносимый инсайдерами. Безалаберность персонала и отсутствие должного технического обеспечения информационной безопасности может стать причиной прямой утечки корпоративных секретов. Такая халатность несёт не только серьёзные убытки бюджету и репутации компании, но и может вызывать широкий общественный диссонанс. Вырвавшись на волю, секретная информация становится достоянием не узкого круга злоумышленников, а всего информационного пространства - утечку обсуждают в интернете, на телевидении, в прессе. Вспомним громкий скандал с публикацией SMS-сообщений крупнейшего российского оператора сотовой связи «Мегафон». Из-за невнимательности технического персонала, смс-сообщения были проиндексированы интернет-поисковиками, в сеть попала переписка абонентов, содержащая информацию как личного, так и делового характера. Совсем недавний случай: публикация личных данных клиентов Пенсионного фонда России. Ошибка представителей одного из региональных представительств фонда привела к индексации персональной информации 600 человек - имена, регистрационные номера, подробные суммы накоплений клиентов ПФР мог прочитать любой пользователь интернета.

Очень частая причина утечек конфиденциальных данных по неосторожности связана с ежедневной ротацией документов внутри компании. Так, например, сотрудник может скопировать файл, содержащий секретные данные, на портативный компьютер, USB-носитель или КПК для работы с данными вне офиса. Также, информация может попасть на файлообменник или личную почту работника. При подобных ситуациях, данные оказываются полностью беззащитными для злоумышленников, которые могут воспользоваться непреднамеренной утечкой.

Золотые доспехи или бронежилет?

Для защиты от утечки данных в индустрии информационной безопасности создаются разнообразные системы защиты информации от утечки, традиционно обозначаемых аббревиатурой DLP от англ. Data Leakage Prevention («предотвращение утечки данных»). Как правило, это сложнейшие программные комплексы, имеющие широкий функционал по предотвращению злоумышленной или случайной утечки секретной информации. Особенностью таких систем является то, что для корректной их работы требуется строго отлаженная структура внутреннего оборота информации и документов, поскольку анализ безопасности всех действий с информацией строится на работе с базами данных. Этим объясняется высокая стоимость установки профессиональных DLP-решений: ещё перед непосредственным внедрением, компании-клиенту приходится приобретать систему управления базами данных (как правило, Oracle или SQL), заказывать дорогостоящий анализ и аудит структуры оборота информации, вырабатывать новую политику безопасности. Обычной является ситуация, когда в компании неструктурированно более 80% информации, что даёт зрительное представление о масштабе подготовительных мероприятий. Разумеется, сама DLP-система тоже стоит немалых денег. Неудивительно, что профессиональную DLP-систему могут себе позволить только крупные компании, готовые тратить миллионы на информационную безопасность организации .

Но что же делать предприятиям среднего и малого бизнеса, которым требуется обеспечить информационную безопасность бизнеса , но средств и возможностей на внедрение профессиональной DLP-системы нет? Самое важное для руководителя компании или офицера службы безопасности определить, какую информацию защищать и какие стороны информационной деятельности сотрудников подвергать контролю. В российском бизнесе до сих пор преобладает мнение, что защищать нужно абсолютно все, без классификации информации и расчета эффективности средств защиты. При таком подходе совершенно очевидно, что узнав суммы расходов на информационную безопасность предприятия , руководитель среднего и малого бизнеса машет рукой и надеется на «авось».

Существуют альтернативные способы защиты, которые не затрагивают базы данных и сложившийся жизненный цикл информации, но дают надёжную защиту от действий злоумышленников и халатности сотрудников. Это гибкие модульные комплексы, которые без проблем работают с другими средствами безопасности, как аппаратными, так и программными (например, с антивирусами). Грамотно составленная система безопасности даёт очень надёжную защиту как от внешних, так и от внутренних угроз, предоставляя идеальный баланс цены и функционала. По мнению специалистов российской компании-разработчика систем информационной безопасности SafenSoft, оптимальным является сочетание элементов защиты от внешних угроз (например, HIPS для предотвращения вторжений, плюс антивирусный сканер) со средствами мониторинга и контроля доступа пользователей и приложений к отдельным секторам информации. При таком подходе вся сетевая структура организации полностью защищена от возможного взлома или инфицирования вирусами, а средства контроля и наблюдения за действиями персонала при работе с информацией позволяют эффективно препятствовать утечкам данных. При наличии всего необходимого арсенала защитных средств, стоимость модульных систем в десятки раз меньше комплексных DLP-решений и не требует никаких затрат на предварительный анализ и адаптацию информационной структуры компании.

Итак, подведём итоги. Угрозы информационной безопасности предприятия совершенно реальны, их нельзя недооценивать. Кроме противодействия внешним угрозам особое внимание следует уделить угрозам внутренним. Важно помнить, что утечки корпоративных секретов случаются не только по злому умыслу - как правило, их причина в элементарной халатности и невнимательности работника. При выборе средств защиты не нужно пытаться охватить все мыслимые и немыслимые угрозы, на это просто не хватит денег и сил. Постройте надёжную модульную систему безопасности, закрытую от рисков вторжения извне и позволяющую осуществлять контроль и мониторинг за потоком информации внутри компании.

Информационная безопасность предприятия - это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и проч.

Задачи систем информационной безопасности предприятия многообразны. Это обеспечение защищённого хранения информации на разных носителях; защита данных, передаваемых по каналам связи; разграничение доступа к различным видам документов; создание резервных копий, послеаварийное восстановление информационных систем и т.д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе ИБ должны учитываться все актуальные компьютерные угрозы и уязвимости.

Полноценная информационная безопасность предприятий и организаций подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.

На уровне предприятия за информационную безопасность отвечают отделы информационных технологий, экономической безопасности, кадров и другие службы.

Защита информации и информационная безопасность

Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации.

Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы.

На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах.

Что же такое «защита информации от несанкционированного доступа» или информационная безопасность Российской Федерации?

Методы защиты информации

Под информационной безопасностью Российской Федерации (информационной системы) подразумевается техника защиты информации от преднамеренного или случайного несанкционированного доступа и нанесения тем самым вреда нормальному процессу документооборота и обмена данными в системе, а также хищения, модификации и уничтожения информации.

Другими словами вопросы защиты информации и защиты информации в информационных системах решаются для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.

Под фразой «угрозы безопасности информационных систем» понимаются реальные или потенциально возможные действия или события, которые способны исказить хранящиеся в информационной системе данные, уничтожить их или использовать в каких-либо целях, не предусмотренных регламентом заранее.

Первое разделение угрозы безопасности информационных систем на виды

Если взять модель, описывающую любую управляемую информационную систему, можно предположить, что возмущающее воздействие на нее может быть случайным. Именно поэтому, рассматривая угрозы безопасности информационных систем, следует сразу выделить преднамеренные и случайные возмущающие воздействия.

Комплекс защиты информации (курсовая защита информации) может быть выведен из строя, например из-за дефектов аппаратных средств. Также вопросы защиты информации встают ребром благодаря неверным действиям персонала, имеющего непосредственный доступ к базам данных, что влечет за собой снижение эффективности защиты информации при любых других благоприятных условиях проведения мероприятия по защите информации. Кроме этого в программном обеспечении могут возникать непреднамеренные ошибки и другие сбои информационной системы. Все это негативно влияет на эффективность защиты информации любого вида информационной безопасности, который существует и используется в информационных системах.

В этом разделе рассматривается умышленная угроза защиты информации, которая отличается от случайной угрозы защиты информации тем, что злоумышленник нацелен на нанесение ущерба системе и ее пользователям, и зачастую угрозы безопасности информационных систем – это не что иное, как попытки получения личной выгоды от владения конфиденциальной информацией.

Защита информации от компьютерных вирусов (защита информации в информационных системах) предполагает средства защиты информации в сети, а точнее программно аппаратные средства защиты информации, которые предотвращают несанкционированное выполнение вредоносных программ, пытающихся завладеть данными и выслать их злоумышленнику, либо уничтожить информацию базы данных, но защита информации от компьютерных вирусов неспособна в полной мере отразить атаку хакера или человека, именуемого компьютерным пиратом.

Задача защиты информации и защиты информации от компьютерных вирусов заключается в том, чтобы усложнить или сделать невозможным проникновение, как вирсов, так и хакера к секретным данным, ради чего взломщики в своих противоправных действиях ищут наиболее достоверный источник секретных данных. А так как хакеры пытаются получить максимум достоверных секретных данных с минимальными затратами, то задачи защиты информации - стремление запутать злоумышленника: служба защиты информации предоставляет ему неверные данные, защита компьютерной информации пытается максимально изолировать базу данных от внешнего несанкционированного вмешательства и т.д.

Защита компьютерной информации для взломщика – это те мероприятия по защите информации, которые необходимо обойти для получения доступа к сведениям. Архитектура защиты компьютерной информации строится таким образом, чтобы злоумышленник столкнулся с множеством уровней защиты информации: защита сервера посредством разграничения доступа и системы аутентификации (диплом «защита информации») пользователей и защита компьютера самого пользователя, который работает с секретными данными. Защита компьютера и защита сервера одновременно позволяют организовать схему защиты компьютерной информации таким образом, чтобы взломщику было невозможно проникнуть в систему, пользуясь столь ненадежным средством защиты информации в сети, как человеческий фактор. То есть, даже обходя защиту компьютера пользователя базы данных и переходя на другой уровень защиты информации, хакер должен будет правильно воспользоваться данной привилегией, иначе защита сервера отклонит любые его запросы на получение данных и попытка обойти защиту компьютерной информации окажется тщетной.

Публикации последних лет говорят о том, что техника защиты информации не успевает развиваться за числом злоупотреблений полномочиями, и техника защиты информации всегда отстает в своем развитии от технологий, которыми пользуются взломщики для того, чтобы завладеть чужой тайной.

Существуют документы по защите информации, описывающие циркулирующую в информационной системе и передаваемую по связевым каналам информацию, но документы по защите информации непрерывно дополняются и совершенствуются, хотя и уже после того, как злоумышленники совершают все более технологичные прорывы модели защиты информации, какой бы сложной она не была.

Сегодня для реализации эффективного мероприятия по защите информации требуется не только разработка средства защиты информации в сети и разработка механизмов модели защиты информации, а реализация системного подхода или комплекса защиты информации – это комплекс взаимосвязанных мер, описываемый определением «защита информации». Данный комплекс защиты информации, как правило, использует специальные технические и программные средства для организации мероприятий защиты экономической информации.

Кроме того, модели защиты информации (реферат на тему защита информации) предусматривают ГОСТ «Защита информации», который содержит нормативно-правовые акты и морально-этические меры защиты информации и противодействие атакам извне. ГОСТ «Защита информации» нормирует определение защиты информации рядом комплексных мер защиты информации, которые проистекают из комплексных действий злоумышленников, пытающихся любыми силами завладеть секретными сведениями. И сегодня можно смело утверждать, что постепенно ГОСТ (защита информации) и определение защиты информации рождают современную технологию защиты информации в сетях компьютерных информационных системах и сетях передачи данных, как диплом «защита информации».

Какие сегодня существуют виды информационной безопасности и умышленных угроз безопасности информации

Виды информационной безопасности, а точнее виды угроз защиты информации на предприятии подразделяются на пассивную и активную.

Пассивный риск информационной безопасности направлен на внеправовое использование информационных ресурсов и не нацелен на нарушение функционирования информационной системы. К пассивному риску информационной безопасности можно отнести, например, доступ к БД или прослушивание каналов передачи данных.

Активный риск информационной безопасности нацелен на нарушение функционирования действующей информационной системы путем целенаправленной атаки на ее компоненты.

К активным видам угрозы компьютерной безопасности относится, например, физический вывод из строя компьютера или нарушение его работоспособности на уровне программного обеспечения.

Необходимость средств защиты информации. Системный подход к организации защиты информации от несанкционированного доступа

К методам и средствам защиты информации относят организационно-технические и правовые мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

Организационные методы защиты информации и защита информации в России обладают следующими свойствами:

    Методы и средства защиты информации обеспечивают частичное или полное перекрытие каналов утечки согласно стандартам информационной безопасности (хищение и копирование объектов защиты информации);

    Система защиты информации – это объединенный целостный орган защиты информации, обеспечивающий многогранную информационную защиту;

Методы и средства защиты информации (методы защиты информации реферат) и основы информационной безопасности включают в себя:

    Безопасность информационных технологий, основанная на ограничении физического доступа к объектам защиты информации с помощью режимных мер и методов информационной безопасности;

    Информационная безопасность организации и управление информационной безопасностью опирается на разграничение доступа к объектам защиты информации – это установка правил разграничения доступа органами защиты информации, шифрование информации для ее хранения и передачи (криптографические методы защиты информации, программные средства защиты информации и защита информации в сетях);

    Информационная защита должна обязательно обеспечить регулярное резервное копирование наиболее важных массивов данных и надлежащее их хранение ( физическая защита информации );

    Органы защиты информации должны обеспечивать профилактику заражение компьютерными вирусами объекта защиты информации.

Правовые основы защиты информации и закон о защите информации. Защита информации на предприятии

Правовые основы защиты информации – это законодательный орган защиты информации, в котором можно выделить до 4 уровней правового обеспечения информационной безопасности информации и информационной безопасности предприятия.

Конфиденциальная информация представляет огромный интерес для конкурирующих фирм. Именно она становится причиной посягательств со стороны злоумышленников.

Многие проблемы связаны с недооценкой важности угрозы, в результате чего для предприятия это может обернуться крахом и банкротством. Даже единичный случай халатности рабочего персонала может принести компании многомиллионные убытки и потерю доверия клиентов.

Угрозам подвергаются данные о составе, статусе и деятельности компании. Источниками таких угроз являются её конкуренты, коррупционеры и преступники. Особую ценность для них представляет ознакомление с охраняемой информацией, а также ее модификация в целях причинения финансового ущерба.

К такому исходу может привести утечка информации даже на 20%. Иногда потеря секретов компании может произойти случайно, по неопытности персонала или из-за отсутствия систем защиты.

Для информации, являющейся собственностью предприятия, могут существовать угрозы следующих видов.

Угрозы конфиденциальности информации и программ. Могут иметь место после нелегального доступа к данным, каналам связи или программам. Содержащие или отправленные данные с компьютера могут быть перехвачены по каналам утечки.

Для этого используется специальное оборудование, производящее анализ электромагнитных излучений, получаемых во время работы на компьютере.

Опасность повреждения. Незаконные действия хакеров могут повлечь за собой искажение маршрутизации или потерю передаваемой информации.

Угроза доступности. Такие ситуации не позволяют законному пользователю использовать службы и ресурсы. Это происходит после их захвата, получения по ним данных или блокировки линий злоумышленниками. Подобный инцидент может искажать достоверность и своевременность передаваемой информации.

Существует три важных условия, которые позволят российскому гражданину : идеальный бизнес-план, продуманная учётная и кадровая политика и наличие свободных денежных средств.

Подготовка документов для открытия ООО требует определённого времени. На открытие расчётного счёта в банке уходит примерно 1-2 дня. О том какие документы понадобятся для открытия ООО читайте здесь.

Риск отказа от исполнения транзакций. Отказ пользователя от передаваемой им же информации с тем, чтобы избежать ответственности.

Внутренние угрозы. Такие угрозы несут для предприятия большую опасность. Они исходят от неопытных руководителей, некомпетентного или неквалифицированного персонала.

Иногда сотрудники предприятия могут провоцировать специально внутреннюю утечку информации, показывая этим своё недовольство зарплатой, работой или коллегами. Они запросто могут преподнести всю ценную информацию предприятия его конкурентам, попытаться уничтожить её, или умышленно внести в компьютеры вирус.

Обеспечение информационной безопасности предприятия

Важнейшие процессы бухгалтерского учёта и автоматизируются соответствующим классом систем, защищенность которых достигается целым комплексом технических и организационных мер.

В их составе антивирусная система, защита межсетевого экранирования и электромагнитного излучения. Системы защищают информацию на электронных носителях, передаваемые по каналам связи данные, разграничивают доступ к разноплановым документам, создают запасные копии и восстанавливают конфиденциальную информацию после повреждений.

Полноценное обеспечение информационной безопасности на предприятии должно быть и находиться под полным контролем круглогодично, в реальном времени в круглосуточном режиме. При этом система учитывает весь жизненный цикл информации, начиная с момента появления и до полного её уничтожения или потери значимости для предприятия.

Для сохранности и для предотвращения потери данных в индустрии информационной безопасности разрабатываются системы защиты. Их работа основана на сложных программных комплексах с широким набором опций, предотвращающих любые утраты данных.

Спецификой программ является то, что для правильного их функционирования требуется разборчивая и отлаженная модель внутреннего оборота данных и документов. Анализ безопасности всех шагов при использовании информации основывается на работе с базами данных.

Обеспечение информационной безопасности может осуществляться с помощью онлайновых средств, а также продуктов и решений, предлагаемых на всевозможных Интернет-ресурсах.

Разработчикам некоторых таких сервисов удалось грамотно составить систему информационной безопасности, защищающую от внешних и внутренних угроз, обеспечивая при этом идеальный баланс цены и функциональности. Предлагаемые гибкие модульные комплексы совмещают работу аппаратных и программных средств.

Виды

Логика функционирования систем информационной безопасности предполагает следующие действия.

Прогнозирование и быстрое распознавание угроз безопасности данных, мотивов и условий, способствовавших нанесению ущерба предприятию и обусловивших сбои в его работе и развитии.

Создание таких рабочих условий, при которых уровень опасности и вероятность нанесения ущерба предприятию сведены к минимуму.

Возмещение ущерба и минимизация влияния выявленных попыток нанесения ущерба.

Средства защиты информации могут быть:

  • техническими;
  • программными;
  • криптографическими;
  • организационными;
  • законодательными.

Организация информационной безопасности на предприятии

Все предприниматели всегда стремятся обеспечить информации доступность и конфиденциальность. Для разработки подходящей защиты информации учитывается природа возможных угроз, а также формы и способы их возникновения.

Организация информационной безопасности на предприятии производится таким образом, чтобы хакер мог столкнуться с множеством уровней защиты. В результате злоумышленнику не удаётся проникать в защищённую часть.

К наиболее эффективному способу защиты информации относится криптостойкий алгоритм шифрования при передаче данных. Система зашифровывает саму информацию, а не только доступ к ней, что актуально и для .

Структура доступа к информации должна быть многоуровневой, в связи с чем к ней разрешается допускать лишь избранных сотрудников. Право полного доступа ко всему объему информации должны иметь только достойные доверия лица.

Перечень сведений, касающихся информации конфиденциального характера, утверждается руководителем предприятия. Любые нарушения в этой области должны караться определенными санкциями.

Модели защиты предусматриваются соответствующими ГОСТами и нормируются целым рядом комплексным мер. В настоящее время разработаны специальные утилиты, круглосуточно отслеживающие состояние сети и любые предупреждения систем информационной безопасности.

Следует иметь ввиду, что недорогие беспроводные сети не могут обеспечить необходимого уровня защиты.

Во избежание случайных потерь данных по неопытности сотрудников, администраторы должны проводить обучающие тренинги. Это позволяет предприятию контролировать готовность сотрудников к работе и дает руководителям уверенность в том, что все работники способны соблюдать меры информационной безопасности.

Атмосфера рыночной экономики и высокий уровень конкуренции заставляют руководителей компаний всегда быть начеку и быстро реагировать на любые трудности. В течение последних 20 лет информационные технологии смогли войти во все сферы развития, управления и ведения бизнеса.

Из реального мира бизнес уже давно превратился в виртуальный, достаточно вспомнить как стали популярны , у которого имеются свои законы. В настоящее время виртуальные угрозы информационной безопасности предприятия могут насести ему огромный реальный вред. Недооценивая проблему, руководители рискуют своим бизнесом, репутацией и авторитетом.

Большинство предприятий регулярно терпят убытки из-за утечки данных. Защита информации предприятия должна занимать приоритетное место в ходе становления бизнеса и его ведения. Обеспечение информационной безопасности – залог успеха, прибыли и достижения целей предприятия.

Обеспечение информационной безопасности Российской Федерации – развивающийся и перспективный сектор, играющий огромную роль в сохранении и передаче данных.

Система обеспечения информационной безопасности Российской Федерации

В последние время у любой организации или отдельного лица имеется очень большое количество обобщенной информации, которая хранится в интернете или на компьютерах, такое большое количество информации стало причиной того, что очень часто происходит ее утечка, но никто не хотел бы, чтобы засекреченная и конфиденциальная информация о чем-либо попала к посторонним людям, собственно для этого и нужно применять меры предосторожности по обеспечению информационной безопасности.

Статистика в данной области показывает, что в ряде стран уже начали применять определенные меры по обеспечению информационной безопасности, которые стали общепринятыми, но есть и другая статистика, которая показывает нам, что мошенники не только не перестали пытаться добраться до секретной информации, напротив, с усовершенствованием , злоумышленники находят новые пути для ее обхода или взлома, так что на данный момент мы можем наблюдать тенденцию роста мошеннических действий, а не ее убавление. Хотелось бы добавить, что сейчас информационное обеспечение Российской Федерации развивается довольно стремительно и имеет положительную тенденцию роста, ранее такого высокого уровня обеспечения информации в Российской Федерации не было.

Абсолютно любая организация или предприятие прекрасно понимает, что угроза потери засекреченной информации довольно велика, поэтому они стараются всеми силами предотвратить утечку и сделать так, чтобы засекреченная информация таковой и оставалась, но схема является не профессиональной, она защищает большое количество информации и закрывает многие ходы для мошенников, но все же бреши в ней остаются, поэтому бывает, что грамотные программисты обходят системы безопасности и добираются до секретной информации, которой после пользуются в незаконных целях.

Функции и условия СОИБ

Основные функции системы обеспечения информационной безопасности Российской Федерации, которые должны присутствовать в любой системе защиты:

  1. Моментальное обнаружение угрозы проникновения. Устранение данной угрозы и закрытие канала доступа к информации, с помощью которой злоумышленники могут навредить предприятию и отдельно взятому лицу в материальном и моральном плане;
  2. Создание механизма для скорейшего выявления нарушений в работе предприятия и реагирования на ситуации, в которых информационная защищенность находится в ослабленном состоянии или же под угрозой взлома;
  3. Создаются условия, чтобы как можно скорее возместить возможный ущерб, нанесенный предприятию физическим или юридическим лицом, и условия для скорейшего восстановления работы предприятия, чтобы утерянная информация не смогла повлиять на его работу и на достижение поставленных перед предприятием задач.

Видео про медиа мониторинг:

Информационная база и принципы СОИБ

Приведенные выше задачи уже дают достаточную информационную базу, для того чтобы человек осознал, для чего нужно обеспечение информационных систем безопасности и как оно функционирует в реальных условиях.

Принципы построения системы информационной безопасности, которыми должны руководствоваться организации и предприятия защищая конфиденциальную информацию от злоумышленников.

Уже давно известно, чтобы обеспечить высокий уровень собственной информации, нужно руководствоваться определенными принципами, так как без них схема информационного обеспечения будет легко обходима, тем самым вы не можете быть постоянно уверены, что информация действительно засекречена.

  1. Итак, первым и наиболее важным принципом системы обеспечения информационной безопасности Российской Федерации является беспрерывная работа над улучшением и усовершенствованием системы, так как технологии развития не стоят на месте, ровным счетом как и не стоит развитие мошеннических действий, направленных на взлом и получение секретных данных, поэтому такую схему следует постоянно совершенствовать. Необходимо как можно чаще проверять и тестировать нынешнюю систему безопасности – этот аспект входит в первый принцип построения системы безопасности информационного обеспечения, следует анализировать систему и по возможности самим выявлять ее бреши в обороне и слабые места, которыми собственно и будут пользоваться злоумышленники. При нахождении брешей или каких-либо путей утечки информации следует сразу же обновить механизм системы безопасности и доработать его, чтобы найденные бреши были сразу же закрыты и недоступны для мошенников. Исходя из данного принципа, стоит усвоить, что нельзя просто установить систему безопасности и быть спокойным за свою секретную информацию, так как эту систему нужно постоянно анализировать, улучшать и совершенствовать;
  2. Вторым принципом является использование всего потенциала системной безопасности, всех функций для каждого отдельного файла, который отвечает за тот или иной аспект работы предприятия, то есть систему безопасности нужно использовать всю и комплексно, так что в вооружении должен находиться весь арсенал имеющийся у данной системы;
  3. Третьим и последним принципом является целостное использование системы безопасности, не стоит разбивать ее на отдельные части, рассматривать отдельные функции, тем самым обеспечивать разный уровень безопасности важным файлам и менее важным. Это работает как один огромный механизм, который имеет в себе большое количество шестеренок, выполняющих разные функции, но составляющих одну систему.

Вижео пр обеспечение безопасности промышленных систем:

Законодательство и СОИБ

Очень важным аспектом системы обеспечения информационной безопасности является сотрудничество с государственными правоохранительными органами и законность данной системы. Важную роль играет высокий уровень профессионализма сотрудников фирмы, предоставляющей вам информационную сохранность, не забывайте, что с данной фирмой и ее сотрудниками должен быть совершен договор о неразглашении секретной информации фирмы, так как все сотрудники, обеспечивающие полноценную работу системы безопасности, будут иметь доступ к информации фирмы, тем самым у вас должны быть гарантии, того что сотрудники не передадут данную информацию третьим лицам, заинтересованным в ее получении в корыстных целях или чтобы подорвать работу вашего предприятия.

Если пренебречь данными принципами и условиями, то ваша защищенность не сможет обеспечить вас должным высоким уровнем защиты, тем самым не будет никаких гарантий, того что данные беспрерывно находятся в недосягаемости злоумышленников, а это может очень плохо сказаться на работе предприятия.

Требования к обеспечению информационной безопасности любого объекта

Принципы нужно не только знать, но и уметь воплотить их в жизнь, именно для этого и существует ряд требований к системе защиты информационной безопасности, которые обязательны к выполнению, как и сами принципы.

Идеальная схема безопасности должна быть:

  1. Централизованной. Управлять системой безопасности нужно всегда централизованно, посему система обеспечения информационной безопасности предприятия должна быть схожа со структурой самого предприятия, к которому и прикреплен данный способ обеспечения информационной безопасности (СОИБ);
  2. Плановой. Исходя из общих целей обеспечения защиты информации, каждый отдельный сотрудник, отвечающий за определенный аспект системы, должен всегда иметь подробнейший план совершенствования защитной системы и использование нынешней. Это нужно, для того чтобы защита информации работала, как одна целостная схема, что обеспечит наиболее высокий уровень защиты конфиденциальной информации охраняемого объекта;
  3. Конкретизированной. Каждая схема безопасности должна иметь конкретные критерии по защите, так как у разных предприятий разные предпочтения, некоторым необходимо защитить именно определенные файлы, которыми смогут воспользоваться конкуренты предприятия, дабы подорвать производственный процесс. Другим фирмам необходима целостная защита каждого файла, независимо от степени его важности, поэтому, прежде чем поставить защиту информации, следует определиться для чего конкретно она вам нужна;
  4. Активной. Обеспечивать защиту информации нужно всегда очень активно и целеустремленно. Что это значит? Это значит, что фирма, обеспечивающая базу безопасности, обязательно должна иметь отдел, содержащий в себе экспертов и аналитиков. Потому что ваш принцип безопасности должен не только устранять уже имеющиеся угрозы и находить бреши в базе, но и знать наперед возможный вариант развития события, чтобы предотвратить возможные угрозы еще до их появления, поэтому аналитический отдел – это очень важная часть в структуре обеспечения защиты информации, не забывайте об этом и постарайтесь уделить данному аспекту особое внимание. “Предупрежден – значит вооружен”;
  5. Универсальной. Ваша схема должна уметь адаптироваться к абсолютно любым условиям, то есть неважно, на каком носителе хранится ваша база, и не должно иметь значения, на каком языке она представлена и в каком формате содержится. Если вы захотите перевести ее в другой формат или же на другой носитель, то это не должно стать причиной утечки информации;
  6. Необычной. Ваша планировка обеспечения информационной безопасности должна быть уникальной, то есть она должна отличаться от аналогичных схем, которые используют другие предприятия или фирмы. К примеру, если другое предприятие, имеющее схожую с вашей схему по защите данных, подверглось атаке, и злоумышленники смогли найти в ней брешь, то вероятность того, что ресурс будет взломан, увеличивается в разы, так что в этом плане следует проявить индивидуальность и устанавливать для своего предприятия схему безопасности, которая раньше нигде не фигурировала и не использовалась, тем самым вы повысите уровень защиты конфиденциальных данных вашего предприятия;
  7. Открытой. Открытой она должна быть в плане вносимых изменений, корректировок и усовершенствований, то есть если вы обнаружили брешь в обороне собственной системы безопасности или хотите усовершенствовать ее, у вас не должно возникать проблем с доступом, так как на доступ к системе может уйти некоторое количество времени, во время которого база может быть взломана, поэтому сделайте ее открытой для собственной фирмы и фирмы, предоставляющей обеспечение информационной безопасности Российской Федерации, от которых зависит и сохранение ваших информационных систем;
  8. Экономичной. Экономичность – это последнее требование к любой системе безопасности, вы должны все посчитать и сделать так, чтобы затраты на информационное обеспечение информационных систем безопасности Российской Федерации ни в коем случае не превышали ценность вашей информации. Например, насколько бы ни была дорогая и совершенная планировка безопасности, все равно существует вероятность, того что ее могут взломать или же обойти, так как брешь при желании можно обнаружить в любой защите, и если вы тратите на такую схему безопасности большие деньги, но в то же время сами данные не стоят таких денег, то это просто бессмысленные траты, которые могут негативно отразиться на бюджете предприятия.

Видео про IDM-решения:

Вторичные требования СОИБ

Выше были перечислены основные, необходимые для полноценной работы системы безопасности требования, далее, будут приведены требования, которые не являются обязательными для системы:

  • Схема безопасности должна быть довольно проста в использовании, то есть любой сотрудник, имеющий доступ к защищенной информации, при необходимости ее просмотреть не должен затрачивать на это большое количество времени, так как это помешает основной работе, схема должна быть удобна и “прозрачна”, но только внутри вашего предприятия;
  • Каждый сотрудник или же доверенное лицо должны иметь какие-либо привилегии к доступу получения защищенной информации. Опять же, приведу пример: вы директор предприятия и на вашем объекте работает ряд сотрудников, которым вы доверяете и можете предоставить доступ, но вы этого не делаете, и доступ имеется только у вас и у сотрудников фирмы, предоставляющих систему информационной безопасности, получается, что ваш бухгалтер и прочие сотрудники, имея необходимость посмотреть на отчеты или другие защищенные файлы, должны будут оторваться от работы, оторвать от работы вас или сотрудников фирмы, предоставляющих защиту, чтобы получить доступ к одному файлу, тем самым работа предприятия будет подорвана, а эффективность ее снижена. Поэтому предоставляйте привилегии своим сотрудникам, чтобы облегчить работу им и себе;
  • Возможность простого и быстрого отключения защиты, так как бывают ситуации, когда защита информации будет в значительной степени затруднять работу предприятия, в этом случае вы должны иметь возможность с легкостью отключить и, когда понадобится, включить систему защиты информации;
  • Схема обеспечения безопасности информации должна функционировать отдельно от каждого субъекта защиты, то есть они не должны быть взаимосвязаны;
  • Фирма, предоставляющая вам систему безопасности информации, должна сама периодически пытаться взломать ее, она может попросить сделать это своих программистов, работающих над другими проектами, если у них получится, то нужно немедленно выяснить, как именно это произошло и где существует слабость в системе защиты, чтобы как можно скорее нейтрализовать ее;
  • На вашем предприятии не должны находиться детальные отчеты и подробное описание механизмов защиты вашей информации, такой информацией должен располагать только владелец предприятия и фирма, предоставляющая защиту информации.

Система информационного обеспечения – этапность

Немаловажным элементом является этапность действий при разработке и установке системы обеспечения информационной безопасности Российской Федерации.

Изначально при создании системы защиты необходимо определить, что именно для вас является интеллектуальной собственностью. К примеру, для предприятия интеллектуальная собственность – это знания и точные сведения о каждом выпускаемом продукте, его усовершенствования, изготовление и разработка новых продуктов и идей для усовершенствования предприятия, в общем, все то, что в конечном итоге приносит вам прибыль. Если вы не можете определить, что для вас интеллектуальная собственность, то какой бы хорошей ни была схема обеспечения информационных систем, она не сможет обеспечить вас высоким уровнем защиты, а еще вы рискуете потерять незащищенную информацию, которая впоследствии приведет к моральным и материальным потерям, так что этому пункту следует изначально уделить особое внимание.

После того как вы определите, что для вас является интеллектуальной собственностью следует перейти к следующим, общепринятым для абсолютно любой организации, вне зависимости от ее размеров и спецификации, этапам:

  1. Установка определенных границ, в которых планировка обеспечения информационных систем имеет свою силу;
  2. Постоянное изучение и выявление слабых мест в системе защиты;
  3. Установка определенной политики системы безопасности и быстро действенное принятие контрмер при выявлении угрозы;
  4. Беспрерывная проверка системы безопасности информации;
  5. Составление детального плана для системы защиты;
  6. Точная реализация ранее составленного плана.

С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

    Что защищать?

    Какие виды угроз превалируют: внешние или внутренние?

    Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

  • статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
  • динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.

Дайджест информационной безопасности

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

  • информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
  • права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
  • система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
  • система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

  • информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
  • сведения в открытом доступе;
  • общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
  • опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

  • на информационное самоопределение;
  • на доступ к личным персональным данным и внесение в них изменений;
  • на блокирование персональных данных и доступа к ним;
  • на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
  • на возмещение причиненного ущерба.

Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

  • печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
  • сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
  • средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
  • документы всех типов: личные, служебные, государственные;
  • программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
  • электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.


Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

  • Нормативные средства

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:

  • ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
  • IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

  • Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

  • Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

Напечатать

Похожие записи:

Синхронизация бп 3.0 и зуп 3.1 базоваяСинхронизация бп 3.0 и зуп 3.1 базовая Отправка личных сообщений пользователям Twitter Как написать сообщение в личкуОтправка личных сообщений пользователям Twitter Как написать сообщение в личку Обзор Meizu M5 Note: плюсы и минусы Полный обзор смартфона meizu m5 noteОбзор Meizu M5 Note: плюсы и минусы Полный обзор смартфона meizu m5 note Punto Switcher-Секретный агент, и незаменимый помощник!Punto Switcher-Секретный агент, и незаменимый помощник! Рыбалка кастинговой сетьюРыбалка кастинговой сетью
Новые или популярные