Защита информации и информационная безопасность. Информационная безопасность на предприятии Обеспечение информационной безопасности организации

С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

Что защищать?

Какие виды угроз превалируют: внешние или внутренние?

Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

• статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
• динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.

Дайджест информационной безопасности

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

• информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
• права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
• система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
• система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

• информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
• сведения в открытом доступе;
• общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
• опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

• на информационное самоопределение;
• на доступ к личным персональным данным и внесение в них изменений;
• на блокирование персональных данных и доступа к ним;
• на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
• на возмещение причиненного ущерба.

Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

• печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• документы всех типов: личные, служебные, государственные;
• программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.

Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

• Нормативные средства

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:

• ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
• IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

• Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

• Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

Обеспечение информационной безопасности Российской Федерации – развивающийся и перспективный сектор, играющий огромную роль в сохранении и передаче данных.

Система обеспечения информационной безопасности Российской Федерации

В последние время у любой организации или отдельного лица имеется очень большое количество обобщенной информации, которая хранится в интернете или на компьютерах, такое большое количество информации стало причиной того, что очень часто происходит ее утечка, но никто не хотел бы, чтобы засекреченная и конфиденциальная информация о чем-либо попала к посторонним людям, собственно для этого и нужно применять меры предосторожности по обеспечению информационной безопасности.

Статистика в данной области показывает, что в ряде стран уже начали применять определенные меры по обеспечению информационной безопасности, которые стали общепринятыми, но есть и другая статистика, которая показывает нам, что мошенники не только не перестали пытаться добраться до секретной информации, напротив, с усовершенствованием , злоумышленники находят новые пути для ее обхода или взлома, так что на данный момент мы можем наблюдать тенденцию роста мошеннических действий, а не ее убавление. Хотелось бы добавить, что сейчас информационное обеспечение Российской Федерации развивается довольно стремительно и имеет положительную тенденцию роста, ранее такого высокого уровня обеспечения информации в Российской Федерации не было.

Абсолютно любая организация или предприятие прекрасно понимает, что угроза потери засекреченной информации довольно велика, поэтому они стараются всеми силами предотвратить утечку и сделать так, чтобы засекреченная информация таковой и оставалась, но схема является не профессиональной, она защищает большое количество информации и закрывает многие ходы для мошенников, но все же бреши в ней остаются, поэтому бывает, что грамотные программисты обходят системы безопасности и добираются до секретной информации, которой после пользуются в незаконных целях.

Функции и условия СОИБ

Основные функции системы обеспечения информационной безопасности Российской Федерации, которые должны присутствовать в любой системе защиты:

1. Моментальное обнаружение угрозы проникновения. Устранение данной угрозы и закрытие канала доступа к информации, с помощью которой злоумышленники могут навредить предприятию и отдельно взятому лицу в материальном и моральном плане;
2. Создание механизма для скорейшего выявления нарушений в работе предприятия и реагирования на ситуации, в которых информационная защищенность находится в ослабленном состоянии или же под угрозой взлома;
3. Создаются условия, чтобы как можно скорее возместить возможный ущерб, нанесенный предприятию физическим или юридическим лицом, и условия для скорейшего восстановления работы предприятия, чтобы утерянная информация не смогла повлиять на его работу и на достижение поставленных перед предприятием задач.

Видео про медиа мониторинг:

Информационная база и принципы СОИБ

Приведенные выше задачи уже дают достаточную информационную базу, для того чтобы человек осознал, для чего нужно обеспечение информационных систем безопасности и как оно функционирует в реальных условиях.

Принципы построения системы информационной безопасности, которыми должны руководствоваться организации и предприятия защищая конфиденциальную информацию от злоумышленников.

Уже давно известно, чтобы обеспечить высокий уровень собственной информации, нужно руководствоваться определенными принципами, так как без них схема информационного обеспечения будет легко обходима, тем самым вы не можете быть постоянно уверены, что информация действительно засекречена.

1. Итак, первым и наиболее важным принципом системы обеспечения информационной безопасности Российской Федерации является беспрерывная работа над улучшением и усовершенствованием системы, так как технологии развития не стоят на месте, ровным счетом как и не стоит развитие мошеннических действий, направленных на взлом и получение секретных данных, поэтому такую схему следует постоянно совершенствовать. Необходимо как можно чаще проверять и тестировать нынешнюю систему безопасности – этот аспект входит в первый принцип построения системы безопасности информационного обеспечения, следует анализировать систему и по возможности самим выявлять ее бреши в обороне и слабые места, которыми собственно и будут пользоваться злоумышленники. При нахождении брешей или каких-либо путей утечки информации следует сразу же обновить механизм системы безопасности и доработать его, чтобы найденные бреши были сразу же закрыты и недоступны для мошенников. Исходя из данного принципа, стоит усвоить, что нельзя просто установить систему безопасности и быть спокойным за свою секретную информацию, так как эту систему нужно постоянно анализировать, улучшать и совершенствовать;
2. Вторым принципом является использование всего потенциала системной безопасности, всех функций для каждого отдельного файла, который отвечает за тот или иной аспект работы предприятия, то есть систему безопасности нужно использовать всю и комплексно, так что в вооружении должен находиться весь арсенал имеющийся у данной системы;
3. Третьим и последним принципом является целостное использование системы безопасности, не стоит разбивать ее на отдельные части, рассматривать отдельные функции, тем самым обеспечивать разный уровень безопасности важным файлам и менее важным. Это работает как один огромный механизм, который имеет в себе большое количество шестеренок, выполняющих разные функции, но составляющих одну систему.

Вижео пр обеспечение безопасности промышленных систем:

Законодательство и СОИБ

Очень важным аспектом системы обеспечения информационной безопасности является сотрудничество с государственными правоохранительными органами и законность данной системы. Важную роль играет высокий уровень профессионализма сотрудников фирмы, предоставляющей вам информационную сохранность, не забывайте, что с данной фирмой и ее сотрудниками должен быть совершен договор о неразглашении секретной информации фирмы, так как все сотрудники, обеспечивающие полноценную работу системы безопасности, будут иметь доступ к информации фирмы, тем самым у вас должны быть гарантии, того что сотрудники не передадут данную информацию третьим лицам, заинтересованным в ее получении в корыстных целях или чтобы подорвать работу вашего предприятия.

Если пренебречь данными принципами и условиями, то ваша защищенность не сможет обеспечить вас должным высоким уровнем защиты, тем самым не будет никаких гарантий, того что данные беспрерывно находятся в недосягаемости злоумышленников, а это может очень плохо сказаться на работе предприятия.

Требования к обеспечению информационной безопасности любого объекта

Принципы нужно не только знать, но и уметь воплотить их в жизнь, именно для этого и существует ряд требований к системе защиты информационной безопасности, которые обязательны к выполнению, как и сами принципы.

Идеальная схема безопасности должна быть:

1. Централизованной. Управлять системой безопасности нужно всегда централизованно, посему система обеспечения информационной безопасности предприятия должна быть схожа со структурой самого предприятия, к которому и прикреплен данный способ обеспечения информационной безопасности (СОИБ);
2. Плановой. Исходя из общих целей обеспечения защиты информации, каждый отдельный сотрудник, отвечающий за определенный аспект системы, должен всегда иметь подробнейший план совершенствования защитной системы и использование нынешней. Это нужно, для того чтобы защита информации работала, как одна целостная схема, что обеспечит наиболее высокий уровень защиты конфиденциальной информации охраняемого объекта;
3. Конкретизированной. Каждая схема безопасности должна иметь конкретные критерии по защите, так как у разных предприятий разные предпочтения, некоторым необходимо защитить именно определенные файлы, которыми смогут воспользоваться конкуренты предприятия, дабы подорвать производственный процесс. Другим фирмам необходима целостная защита каждого файла, независимо от степени его важности, поэтому, прежде чем поставить защиту информации, следует определиться для чего конкретно она вам нужна;
4. Активной. Обеспечивать защиту информации нужно всегда очень активно и целеустремленно. Что это значит? Это значит, что фирма, обеспечивающая базу безопасности, обязательно должна иметь отдел, содержащий в себе экспертов и аналитиков. Потому что ваш принцип безопасности должен не только устранять уже имеющиеся угрозы и находить бреши в базе, но и знать наперед возможный вариант развития события, чтобы предотвратить возможные угрозы еще до их появления, поэтому аналитический отдел – это очень важная часть в структуре обеспечения защиты информации, не забывайте об этом и постарайтесь уделить данному аспекту особое внимание. “Предупрежден – значит вооружен”;
5. Универсальной. Ваша схема должна уметь адаптироваться к абсолютно любым условиям, то есть неважно, на каком носителе хранится ваша база, и не должно иметь значения, на каком языке она представлена и в каком формате содержится. Если вы захотите перевести ее в другой формат или же на другой носитель, то это не должно стать причиной утечки информации;
6. Необычной. Ваша планировка обеспечения информационной безопасности должна быть уникальной, то есть она должна отличаться от аналогичных схем, которые используют другие предприятия или фирмы. К примеру, если другое предприятие, имеющее схожую с вашей схему по защите данных, подверглось атаке, и злоумышленники смогли найти в ней брешь, то вероятность того, что ресурс будет взломан, увеличивается в разы, так что в этом плане следует проявить индивидуальность и устанавливать для своего предприятия схему безопасности, которая раньше нигде не фигурировала и не использовалась, тем самым вы повысите уровень защиты конфиденциальных данных вашего предприятия;
7. Открытой. Открытой она должна быть в плане вносимых изменений, корректировок и усовершенствований, то есть если вы обнаружили брешь в обороне собственной системы безопасности или хотите усовершенствовать ее, у вас не должно возникать проблем с доступом, так как на доступ к системе может уйти некоторое количество времени, во время которого база может быть взломана, поэтому сделайте ее открытой для собственной фирмы и фирмы, предоставляющей обеспечение информационной безопасности Российской Федерации, от которых зависит и сохранение ваших информационных систем;
8. Экономичной. Экономичность – это последнее требование к любой системе безопасности, вы должны все посчитать и сделать так, чтобы затраты на информационное обеспечение информационных систем безопасности Российской Федерации ни в коем случае не превышали ценность вашей информации. Например, насколько бы ни была дорогая и совершенная планировка безопасности, все равно существует вероятность, того что ее могут взломать или же обойти, так как брешь при желании можно обнаружить в любой защите, и если вы тратите на такую схему безопасности большие деньги, но в то же время сами данные не стоят таких денег, то это просто бессмысленные траты, которые могут негативно отразиться на бюджете предприятия.

Видео про IDM-решения:

Вторичные требования СОИБ

Выше были перечислены основные, необходимые для полноценной работы системы безопасности требования, далее, будут приведены требования, которые не являются обязательными для системы:

• Схема безопасности должна быть довольно проста в использовании, то есть любой сотрудник, имеющий доступ к защищенной информации, при необходимости ее просмотреть не должен затрачивать на это большое количество времени, так как это помешает основной работе, схема должна быть удобна и “прозрачна”, но только внутри вашего предприятия;
• Каждый сотрудник или же доверенное лицо должны иметь какие-либо привилегии к доступу получения защищенной информации. Опять же, приведу пример: вы директор предприятия и на вашем объекте работает ряд сотрудников, которым вы доверяете и можете предоставить доступ, но вы этого не делаете, и доступ имеется только у вас и у сотрудников фирмы, предоставляющих систему информационной безопасности, получается, что ваш бухгалтер и прочие сотрудники, имея необходимость посмотреть на отчеты или другие защищенные файлы, должны будут оторваться от работы, оторвать от работы вас или сотрудников фирмы, предоставляющих защиту, чтобы получить доступ к одному файлу, тем самым работа предприятия будет подорвана, а эффективность ее снижена. Поэтому предоставляйте привилегии своим сотрудникам, чтобы облегчить работу им и себе;
• Возможность простого и быстрого отключения защиты, так как бывают ситуации, когда защита информации будет в значительной степени затруднять работу предприятия, в этом случае вы должны иметь возможность с легкостью отключить и, когда понадобится, включить систему защиты информации;
• Схема обеспечения безопасности информации должна функционировать отдельно от каждого субъекта защиты, то есть они не должны быть взаимосвязаны;
• Фирма, предоставляющая вам систему безопасности информации, должна сама периодически пытаться взломать ее, она может попросить сделать это своих программистов, работающих над другими проектами, если у них получится, то нужно немедленно выяснить, как именно это произошло и где существует слабость в системе защиты, чтобы как можно скорее нейтрализовать ее;
• На вашем предприятии не должны находиться детальные отчеты и подробное описание механизмов защиты вашей информации, такой информацией должен располагать только владелец предприятия и фирма, предоставляющая защиту информации.

Система информационного обеспечения – этапность

Немаловажным элементом является этапность действий при разработке и установке системы обеспечения информационной безопасности Российской Федерации.

Изначально при создании системы защиты необходимо определить, что именно для вас является интеллектуальной собственностью. К примеру, для предприятия интеллектуальная собственность – это знания и точные сведения о каждом выпускаемом продукте, его усовершенствования, изготовление и разработка новых продуктов и идей для усовершенствования предприятия, в общем, все то, что в конечном итоге приносит вам прибыль. Если вы не можете определить, что для вас интеллектуальная собственность, то какой бы хорошей ни была схема обеспечения информационных систем, она не сможет обеспечить вас высоким уровнем защиты, а еще вы рискуете потерять незащищенную информацию, которая впоследствии приведет к моральным и материальным потерям, так что этому пункту следует изначально уделить особое внимание.

После того как вы определите, что для вас является интеллектуальной собственностью следует перейти к следующим, общепринятым для абсолютно любой организации, вне зависимости от ее размеров и спецификации, этапам:

1. Установка определенных границ, в которых планировка обеспечения информационных систем имеет свою силу;
2. Постоянное изучение и выявление слабых мест в системе защиты;
3. Установка определенной политики системы безопасности и быстро действенное принятие контрмер при выявлении угрозы;
4. Беспрерывная проверка системы безопасности информации;
5. Составление детального плана для системы защиты;
6. Точная реализация ранее составленного плана.

Обеспечение информационной безопасности - сложная общественно-социальная, правовая, экономическая, научная проблема. Лишь комплексное решение ее целей и задач одновременно в нескольких плоскостях сможет оказать свое регулирующее воздействие на обеспечение информационной безопасности страны. Работы, проводимые в этой области, должны иметь не только практическую направленность, но и научное обоснование.

Основные цели обеспечения информационной безопасности определяются на базе устойчивых приоритетов национальной и экономической безопасности, отвечающих долговременным интересам общественного развития, к которым относятся:

Сохранение и укрепление российской государственности и политической стабильности в обществе;

Сохранение и развитие демократических институтов общества, обеспечение прав и свобод граждан, укрепление законности и правопорядка;

Обеспечение достойного места и роли страны в мировом сообществе;

Обеспечение территориальной целостности страны;

Обеспечение прогрессивного социально-экономического развития;

Сохранение национальных культурных ценностей и традиций.

В соответствии с указанными приоритетами основными задачами обеспечения информационной безопасности являются:

Выявление оценка и прогнозирование источников угроз информационной безопасности;

Разработка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;

Разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и предприятий по обеспечению информационной безопасности;

Развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;

Обеспечение активного участия страны в процессах создания использования глобальных информационных сетей и систем.

Важнейшими принципами обеспечения информационной безопасности являются:

1) законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере;

2) непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;

3) экономическая целесообразность, т е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации

4) комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.

Реализация процесса защиты информации включает несколько этапов:

Определение объекта защиты: права на защиту информационного ресурса, стоимостная оценка информационного ресурса и его основных элементов, длительность жизненного цикла информационного ресурса, траектория информационного процесса по функциональным подразделениям фирмы;

Выявление источников угроз (конкурентов, преступников, сотрудников и др.), целей угроз (ознакомление, модификация, уничтожение и др.), возможных каналов реализации угроз (разглашение, утечка и др.);

Определение необходимых мер защиты;

Оценка их эффективности и экономической целесообразности;

Реализация принятых мер с учетом выбранных критериев;

Доведение принятых мер до персонала, контроль за их эффективностью и устранение (предотвращение) последствий угроз.

Реализация описанных этапов, по сути, является процессом управления информационной безопасностью объекта и обеспечивается системой управления, включающей в себя, кроме самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым, а также механизм управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать достижение минимума информационного ущерба, а целью управления - обеспечение требуемого состояния объекта в смысле его информационной защищенности.

Методы обеспечения информационной безопасности разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности относится разработка нормативно-правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности. Наиболее важными направлениями этой деятельности являются:

Внесение изменений и дополнений в законодательство, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности, устранения внутренних противоречии в федеральном законодательстве, противоречий, связанных с международными соглашениями, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности;

Законодательное разграничение полномочий в области обеспечения определения целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

Разработка и принятие нормативных правовых актов, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

Уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития отечественной информационной инфраструктуры;

Законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

Определение статуса организаций, предоставляющих услуги глобальных информационно-коммуникационных сетей и правовое регулирование деятельности этих организаций;

Создание правовой базы для формирования региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности являются:

Создание и совершенствование системы обеспечения информационной безопасности государства;

Усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

Разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

Создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

Выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-коммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

Сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

Совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

Контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности государства;

Формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают:

Разработку программ обеспечения информационной безопасности государства и определение порядка их финансирования;

Совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Наряду с широким использованием стандартных методов и средств для сферы экономики приоритетными направлениями обеспечения информационной безопасности являются:

Разработка и принятие правовых положений, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ и хищение информации, преднамеренное распространение недостоверной информации, разглашение коммерческой тайны, утечку конфиденциальной информации;

Построение системы государственной статистической отчетности, обеспечивающей достоверность, полноту, сопоставимость и защищенность информации путем введения строгой юридической ответственности первичных источников информации, организации действенного контроля за их деятельностью и деятельностью служб обработки и анализа статистической информации, ограничения ее коммерциализации, использования специальных организационных и программно-технических средств защиты информации;

Создание и совершенствование специальных средств защиты финансовой и коммерческой информации;

Разработка комплекса организационно-технических мероприятий по совершенствованию технологии информационной деятельности и защиты информации в хозяйственных, финансовых, промышленных и других экономических структурах с учетом специфических для сферы экономики требований информационной безопасности;

Совершенствование системы профессионального отбора и подготовки персонала, систем отбора, обработки, анализа и распространения экономической информации.

Государственная политика обеспечения информационной безопасности формирует направления деятельности органов государственной власти и управления в области обеспечения информационной безопасности, включая гарантии прав всех субъектов на информацию, закрепление обязанностей и ответственности государства и его органов за информационную безопасность страны, и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Государственная политика обеспечения информационной безопасности исходит из следующих основных положений:

Ограничение доступа к информации есть исключение из общего принципа открытости информации, и осуществляется только на основе законодательства;

Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется;

Доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;

Формирование государством нормативно-правовой базы, регламентирующей права, обязанности и ответственность всех субъектов, действующих в информационной сфере;

Юридические и физические лица, собирающие, накапливающие и обрабатывающие персональные данные и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;

Обеспечение государством законными средствами защиты общества от ложной, искаженной и недостоверной информации, поступающей через средства массовой информации;

Осуществление государственного контроля за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации;

Проведение протекционистской политики государства, поддерживающей деятельность отечественных производителей средств информатизации и защиты информации и осуществляющей меры по защите внутреннего рынка от проникновения на него некачественных средств информации и информационных продуктов;

Государственная поддержка в деле предоставления гражданам доступа к мировым информационным ресурсам, глобальным информационным сетям,

Формирование государством федеральной программы информационной безопасности, объединяющей усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности страны;

Государство прилагает усилия для противодействия информационной экспансии других стран, поддерживает интернационализацию глобальных информационных сетей и систем.

На основе изложенных принципов и положений определяются общие направления формирования и реализации политики информационной безопасности в политической, экономической и других сферах деятельности государства.

Государственная политика в качестве механизма согласования интересов субъектов информационных отношений и нахождения компромиссных решений предусматривает формирование и организацию эффективной работы различных советов, комитетов и комиссий с широким представительством специалистов и всех заинтересованных структур. Механизмы реализации государственной политики должны быть гибкими и своевременно отражать изменения, происходящие в экономической и политической жизни страны.

Правовое обеспечение информационной безопасности государства является приоритетным направлением формирования механизмов реализации политики обеспечения информационной безопасности и включает в себя:

1) нормотворческую деятельность по созданию законодательства, регулирующего отношения в обществе, связанные с обеспечением информационной безопасности;

2) исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями, гражданами.

Нормотворческая деятельность в области обеспечения информационной безопасности предусматривает:

Оценку состояния действующего законодательства и разработку программы его совершенствования;

Создание организационно-правовых механизмов обеспечения информационной безопасности;

Формирование правового статуса всех субъектов в системе информационной безопасности, пользователей информационных и телекоммуникационных систем и определение их ответственности за обеспечение информационной безопасности;

Разработку организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех видов информации;

Разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействия угроз, восстановления нарушенного права и ресурсов, реализации компенсационных мер.

Исполнительная и правоприменительная деятельность предусматривает разработку процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с конфиденциальной информацией и нарушившим регламент информационных взаимодействий. Вся деятельность по правовому обеспечению информационной безопасности строится на основе трех фундаментальных положений права: соблюдения законности, обеспечения баланса интересов отдельных субъектов и государства, неотвратимости наказания.

Соблюдение законности предполагает наличие законов и иных нормативных установлений, их применение и исполнение субъектами права в области информационной безопасности.

12.3. СОСТОЯНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ

Оценка состояния информационной безопасности государства предполагает оценку существующих угроз. В п. 2 «Доктрины информационной безопасности РФ» 1 выделяются следующие угрозы информационной безопасности Российской Федерации:

Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

Угрозы информационному обеспечению государственной политики Российской Федерации;

Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

__________________________________________________________________

Угрозы безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

К внешним источникам угроз информационной безопасности России относятся:

1) деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против Российской Федерации в информационной сфере;

2) стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационного рынков;

3) обострение международной конкуренции за обладание информационными технологиями и ресурсами;

4) деятельность международных террористических организаций;

5) увеличение технологического отрыва ведущих держав мира наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

6) деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

7) разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

К внутренним источникам угроз информационной безопасности России относятся:

1) критическое состояние отечественных отраслей промышленности;

2) неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере;

3) недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

4) недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

5) неразвитость институтов гражданского общества и недостаточный контроль за развитием информационного рынка России;

6) недостаточная экономическая мощь государства;

7) снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

8) отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, кредит-но-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

За последние годы в России реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.

Успешному решению вопросов обеспечения информационной безопасности РФ способствуют государственная система защиты информации, система защиты государственной тайны и системы сертификации средств защиты информации.

Структуру государственной системы защиты информации составляют:

Органы государственной власти и управления РФ и субъектов РФ, решающие задачи обеспечения информационной безопасности в пределах своей компетенции;

Государственные и межведомственные комиссии и советы, специализирующиеся на проблемах информационной безопасности;

Государственная техническая комиссия при Президенте РФ;

Федеральная служба безопасности РФ;

Министерство внутренних дел РФ;

Министерство обороны РФ;

Федеральное агентство правительственной связи и информации при Президенте РФ;

Служба внешней разведки РФ;

Структурные и межотраслевые подразделения по защите информации органов государственной власти;

Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации;

Учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности.

Государственная техническая комиссия при Президенте РФ, являясь органом государственного управления, осуществляет проведение единой технической политики и координацию работ в области защиты информации, возглавляет государственную систему защиты информации от технических разведок, несет ответственность за обеспечение защиты информации от ее утечки по техническим каналам на территории России, осуществляет контроль эффективности принимаемых мер защиты.

Особое место в системе информационной безопасности занимают государственные и общественные организации, осуществляющие контроль за деятельностью государственных и негосударственных средств массовой информации.

К настоящему времени сформирована законодательная и нормативно-правовая база в сфере информационной безопасности России, которая включает в себя:

1. Законы Российской Федерации:

Конституция РФ;

«О банках и банковской деятельности»;

«О безопасности»;

«О внешней разведке»;

«О государственной тайне»;

«О связи»;

«О сертификации продукции и услуг»;

«О средствах массовой информации»;

«О стандартизации»;

«Об информации, информационных технологиях и о защите информации»;

«Об органах Федеральной службы безопасности в Российской Федерации»;

«Об обязательном экземпляре документов»;

«Об участии в международном информационном обмене»;

«О6 электронно-цифровой подписи» и др.

2. Нормативно-правовые акты Президента Российской Федерации:

«Доктрина информационной безопасности РФ»;

«О стратегии национальной безопасности Российской Федерации до 2020 г»;

«О некоторых вопросах межведомственной комиссии по защите государственной тайны»;

«О перечне сведений, отнесенных к государственной тайне»;

«Об основах государственной политики в сфере информатизации»;

«Об утверждении перечня сведений конфиденциального характера» и др.

З. Нормативные правовые акты Правительства Российской Федерации:

«О сертификации средств защиты информации»;

«О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;

«Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»;

«О лицензировании отдельных видов деятельности» и др.

4. Руководящие документы Гостехкомиссии России:

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;

«Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

«Защита информации. Специальные защитные знаки. Классификация и общие требования»;

«Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не-декларированных возможностей».

5. Гражданский кодекс РФ (часть четвертая).

6. УК РФ.

Международное сотрудничество в области обеспечения информационной безопасности - неотъемлемая составляющая экономического, политического, военного, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Россию. Особенность международного сотрудничества РФ в области обеспечения информационной безопасности заключается в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, за доминирование на рынках сбыта, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружия». Это может привести к новому этапу развертывания гонки вооружений в информационной сфере.

Международное сотрудничество в области информационной безопасности опирается на следующую нормативно-правовую базу:

Соглашение с Республикой Казахстан от 13 января 1995 г, с Москва (Постановление Правительства РФ от 15 мая 1994 г Nч 679);

Соглашение с Украиной от 14 июня 1996 г, г Киев (Постановление Правительства РФ от 7 июня 1996 г Ns 655);

Соглашение с Республикой Беларусь (Проект);

Выдача сертификатов и лицензий при международном информационном обмене (Федеральный закон от 4 июля 1996 г Х 85-ФЗ).

Основными направлениями международного сотрудничества, отвечающими интересам РФ, являются:

Предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских сетях и в каналах информационного обеспечения мировой торговли, к конфиденциальной информации в международных экономических и политических союзах, блоках и организациях, к информации в международных правоохранительных организациях, ведущих борьбу с международной организованной преступностью и международным терроризмом;

Запрещение разработки, распространения и применения «информационного оружия»;

Обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным сетям и каналам связи;

Координация деятельности правоохранительных органов государств - участников международного сотрудничества по предотвращению компьютерных преступлений;

Участие в проведении международных конференций и выставок по проблеме безопасности информации.

Особое внимание в ходе сотрудничества должно быть уделено проблемам взаимодействия со странами СНГ с учетом перспектив создания единого информационного пространства на территории бывшего СССР, в пределах которого используются практически единые телекоммуникационные системы и линии связи.

Вместе с тем анализ состояния информационной безопасности России показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.

Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти персональных данных.

Отсутствует четкость в проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на международный информационный рынок.

Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

Отставание отечественных информационных технологий вынуждает органы государственной власти РФ при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-теле-коммуникационных систем, интеграцией отечественных и международных информационных систем возросли угрозы применения «информационного оружия» против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании.

Контрольные вопросы

1. Каково место информационной безопасности в системе экономической безопасности государства? Покажите на примерах значение информационной безопасности в обеспечении экономической безопасности государства?

2. Чем обусловлено повышение значимости информационной безопасности в современный период?

3. Охарактеризуйте основные категории информационной безопасности: информация, информатизация, документ, информационный процесс, информационная система, информационные ресурсы, персональные данные, конфиденциальная информация.

4. В чем заключаются интересы личности, общества и государства в информационной сфере?

5. Какие существуют виды угроз информационной безопасности?

6. Назовите способы воздействия угроз на объекты информационной безопасности.

7. Объясните понятие «информационная война».

8. Перечислите внешние источники угроз информационной безопасности России.

9. Перечислите внутренние источники угроз информационной безопасности России.

10. Какие нормативные акты обеспечивают информационную безопасность на территории РФ?

11. Какие международные нормативные акты в сфере защиты информации вы знаете?

12. В чем заключается суть государственной политики обеспечения информационной безопасности?

13. Перечислите методы обеспечения информационной безопасности.

14. Охарактеризуйте структуру государственной системы защиты информации

15. Дайте оценку состояния информационной безопасности России.

Конфиденциальная информация представляет огромный интерес для конкурирующих фирм. Именно она становится причиной посягательств со стороны злоумышленников.

Многие проблемы связаны с недооценкой важности угрозы, в результате чего для предприятия это может обернуться крахом и банкротством. Даже единичный случай халатности рабочего персонала может принести компании многомиллионные убытки и потерю доверия клиентов.

Угрозам подвергаются данные о составе, статусе и деятельности компании. Источниками таких угроз являются её конкуренты, коррупционеры и преступники. Особую ценность для них представляет ознакомление с охраняемой информацией, а также ее модификация в целях причинения финансового ущерба.

К такому исходу может привести утечка информации даже на 20%. Иногда потеря секретов компании может произойти случайно, по неопытности персонала или из-за отсутствия систем защиты.

Для информации, являющейся собственностью предприятия, могут существовать угрозы следующих видов.

Угрозы конфиденциальности информации и программ. Могут иметь место после нелегального доступа к данным, каналам связи или программам. Содержащие или отправленные данные с компьютера могут быть перехвачены по каналам утечки.

Для этого используется специальное оборудование, производящее анализ электромагнитных излучений, получаемых во время работы на компьютере.

Опасность повреждения. Незаконные действия хакеров могут повлечь за собой искажение маршрутизации или потерю передаваемой информации.

Угроза доступности. Такие ситуации не позволяют законному пользователю использовать службы и ресурсы. Это происходит после их захвата, получения по ним данных или блокировки линий злоумышленниками. Подобный инцидент может искажать достоверность и своевременность передаваемой информации.

Существует три важных условия, которые позволят российскому гражданину : идеальный бизнес-план, продуманная учётная и кадровая политика и наличие свободных денежных средств.

Подготовка документов для открытия ООО требует определённого времени. На открытие расчётного счёта в банке уходит примерно 1-2 дня. О том какие документы понадобятся для открытия ООО читайте здесь.

Риск отказа от исполнения транзакций. Отказ пользователя от передаваемой им же информации с тем, чтобы избежать ответственности.

Внутренние угрозы. Такие угрозы несут для предприятия большую опасность. Они исходят от неопытных руководителей, некомпетентного или неквалифицированного персонала.

Иногда сотрудники предприятия могут провоцировать специально внутреннюю утечку информации, показывая этим своё недовольство зарплатой, работой или коллегами. Они запросто могут преподнести всю ценную информацию предприятия его конкурентам, попытаться уничтожить её, или умышленно внести в компьютеры вирус.

Обеспечение информационной безопасности предприятия

Важнейшие процессы бухгалтерского учёта и автоматизируются соответствующим классом систем, защищенность которых достигается целым комплексом технических и организационных мер.

В их составе антивирусная система, защита межсетевого экранирования и электромагнитного излучения. Системы защищают информацию на электронных носителях, передаваемые по каналам связи данные, разграничивают доступ к разноплановым документам, создают запасные копии и восстанавливают конфиденциальную информацию после повреждений.

Полноценное обеспечение информационной безопасности на предприятии должно быть и находиться под полным контролем круглогодично, в реальном времени в круглосуточном режиме. При этом система учитывает весь жизненный цикл информации, начиная с момента появления и до полного её уничтожения или потери значимости для предприятия.

Для сохранности и для предотвращения потери данных в индустрии информационной безопасности разрабатываются системы защиты. Их работа основана на сложных программных комплексах с широким набором опций, предотвращающих любые утраты данных.

Спецификой программ является то, что для правильного их функционирования требуется разборчивая и отлаженная модель внутреннего оборота данных и документов. Анализ безопасности всех шагов при использовании информации основывается на работе с базами данных.

Обеспечение информационной безопасности может осуществляться с помощью онлайновых средств, а также продуктов и решений, предлагаемых на всевозможных Интернет-ресурсах.

Разработчикам некоторых таких сервисов удалось грамотно составить систему информационной безопасности, защищающую от внешних и внутренних угроз, обеспечивая при этом идеальный баланс цены и функциональности. Предлагаемые гибкие модульные комплексы совмещают работу аппаратных и программных средств.

Виды

Логика функционирования систем информационной безопасности предполагает следующие действия.

Прогнозирование и быстрое распознавание угроз безопасности данных, мотивов и условий, способствовавших нанесению ущерба предприятию и обусловивших сбои в его работе и развитии.

Создание таких рабочих условий, при которых уровень опасности и вероятность нанесения ущерба предприятию сведены к минимуму.

Возмещение ущерба и минимизация влияния выявленных попыток нанесения ущерба.

Средства защиты информации могут быть:

• техническими;
• программными;
• криптографическими;
• организационными;
• законодательными.

Организация информационной безопасности на предприятии

Все предприниматели всегда стремятся обеспечить информации доступность и конфиденциальность. Для разработки подходящей защиты информации учитывается природа возможных угроз, а также формы и способы их возникновения.

Организация информационной безопасности на предприятии производится таким образом, чтобы хакер мог столкнуться с множеством уровней защиты. В результате злоумышленнику не удаётся проникать в защищённую часть.

К наиболее эффективному способу защиты информации относится криптостойкий алгоритм шифрования при передаче данных. Система зашифровывает саму информацию, а не только доступ к ней, что актуально и для .

Структура доступа к информации должна быть многоуровневой, в связи с чем к ней разрешается допускать лишь избранных сотрудников. Право полного доступа ко всему объему информации должны иметь только достойные доверия лица.

Перечень сведений, касающихся информации конфиденциального характера, утверждается руководителем предприятия. Любые нарушения в этой области должны караться определенными санкциями.

Модели защиты предусматриваются соответствующими ГОСТами и нормируются целым рядом комплексным мер. В настоящее время разработаны специальные утилиты, круглосуточно отслеживающие состояние сети и любые предупреждения систем информационной безопасности.

Следует иметь ввиду, что недорогие беспроводные сети не могут обеспечить необходимого уровня защиты.

Во избежание случайных потерь данных по неопытности сотрудников, администраторы должны проводить обучающие тренинги. Это позволяет предприятию контролировать готовность сотрудников к работе и дает руководителям уверенность в том, что все работники способны соблюдать меры информационной безопасности.

Атмосфера рыночной экономики и высокий уровень конкуренции заставляют руководителей компаний всегда быть начеку и быстро реагировать на любые трудности. В течение последних 20 лет информационные технологии смогли войти во все сферы развития, управления и ведения бизнеса.

Из реального мира бизнес уже давно превратился в виртуальный, достаточно вспомнить как стали популярны , у которого имеются свои законы. В настоящее время виртуальные угрозы информационной безопасности предприятия могут насести ему огромный реальный вред. Недооценивая проблему, руководители рискуют своим бизнесом, репутацией и авторитетом.

Большинство предприятий регулярно терпят убытки из-за утечки данных. Защита информации предприятия должна занимать приоритетное место в ходе становления бизнеса и его ведения. Обеспечение информационной безопасности – залог успеха, прибыли и достижения целей предприятия.

Политика Информационной Безопасности.

1. Общие положения

Настоящая Политика информационной безопасности (далее – Политика ) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач, а также организационных, технологических и процедурных аспектов обеспечения безопасности информации объектов информационной инфраструктуры, включающих совокупность информационных центров, банков данных и систем связи организации. Настоящая Политика разработана с учетом требований действующего законодательства РФ и ближайших перспектив развития объектов информационной инфраструктуры, а также характеристик и возможностей современных организационно-технических методов и аппаратно-программных средств защиты информации.

Основные положения и требования Политики распространяются на все структурные подразделения организации.

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации.

Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов информационной инфраструктуры, защиты от стихийных бедствий, и сбоев в системе энергоснабжения, однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности организации в целом.

Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

В Политике используются следующие термины и определения:

Автоматизированная система (АС ) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная инфраструктура — система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Информационная инфраструктура включает совокупность информационных центров, банков данных и знаний, систем связи, обеспечивает доступ потребителей к информационным ресурсам.

Информационные ресурсы (ИР ) – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, базах данных и других информационных системах ).

Информационная система (ИС ) - система обработки информации и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д. ), которые обеспечивают и распространяют информацию.

Безопасность — состояние защищенности интересов (целей ) организации в условиях угроз.

Информационная безопасность (ИБ ) — безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей ) организации.

Доступность информационных активов — свойство ИБ организации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.

Целостность информационных активов — свойство ИБ организации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

Конфиденциальность информационных активов — свойство ИБ организации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

Система информационной безопасности (СИБ ) — совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное ) обеспечение.

Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации или получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Общие требования по обеспечению информационной безопасности

Требования информационной безопасности (далее — ИБ ) определяют содержание и цели деятельности организации в рамках процессов управления ИБ.

Эти требования формулируются для следующих областей:

• назначение и распределение ролей и доверия к персоналу;
• стадий жизненного цикла объектов информационной инфраструктуры;
• защиты от несанкционированного доступа (далее — НСД ), управления доступом и регистрацией в автоматизированных системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
• антивирусной защиты;
• использования ресурсов Интернет;
• использования средств криптографической защиты информации;
• защиты персональных данных.

3. Объекты, подлежащие защите

Основными объектами, подлежащими защите, являются:

• информационные ресурсы , представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию;
• система формирования, распространения и использования информационных ресурсов , библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, технический и обслуживающий персонал;
• информационная инфраструктура , включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты информационной инфраструктуры.

3.1. Особенности Автоматизированной системы

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой корпоративной сети.

В ряде подсистем АС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными ) организациями по коммутируемым и выделенным каналам связи с использованием специальных средств передачи информации.

Комплекс технических средств АС включает средства обработки данных (рабочие станции, серверы БД, почтовые серверы и т.п. ), средства обмена данными в локальных вычислительных сетях с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д. ), а также средства хранения (в т.ч. архивирования ) данных.

К основным особенностям функционирования АС относятся:

• необходимость объединения в единую систему большого количества разнообразных технических средств обработки и передачи информации;
• большое разнообразие решаемых задач и типов, обрабатываемых данных;
• объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
• наличие каналов подключения к внешним сетям;
• непрерывность функционирования;
• наличие подсистем с различными требованиями по уровням защищенности, физически объединенных в единую сеть;
• разнообразие категорий пользователей и обслуживающего персонала.

В общем виде, единая АС представляет собой совокупность локальных вычислительных сетей подразделений, объединенных между собой средствами телекоммуникаций. Каждая локальная вычислительная сеть объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков ), обеспечивающих решение задач отдельными структурными подразделениями организации.

Объекты информатизации включают:

• технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование );
• информационные ресурсы;
• программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение );
• автоматизированные системы связи и передачи данных (средства телекоммуникации);
• каналы связи;
• служебные помещения.

3.2. Типы информационных активов организации, подлежащих защите

В подсистемах АС организации циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, персональные данные ) и открытые сведения.

В документообороте АС присутствуют:

• платежные поручения и финансовые документы;
• отчеты (финансовые, аналитические и др. );
• сведения о лицевых счетах;
• персональные данные;
• другая информация ограниченного распространения.

Защите подлежит вся информация, циркулирующая в АС и содержащаяся в следующих типах информационных активов:

• сведения, составляющие коммерческую и служебную тайну, доступ к которым ограничен организацией, как собственником информации, в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации » правами и Федеральным законом «О коммерческой тайне »;
• персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных »;
• открытые сведения, в части обеспечения целостности и доступности информации.

3.3. Категории пользователей Автоматизированной системы

В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным ресурсам АС:

• простые пользователи (конечные пользователи, работники подразделений организации );
• администраторы серверов (файловых серверов, серверов приложений, серверов баз данных ), локальных вычислительных сетей и прикладных систем;
• системные программисты (ответственные за сопровождение общего программного обеспечения ) на серверах и рабочих станциях пользователей;
• разработчики прикладного программного обеспечения;
• специалисты по обслуживанию технических средств вычислительной техники;
• администраторы информационной безопасности и др.

3.4. Уязвимость основных компонентов Автоматизированной системы

Наиболее уязвимыми компонентами АС являются сетевые рабочие станции – автоматизированные рабочие места (далее – АРМ ) работников. С АРМ работников могут быть предприняты попытки несанкционированного доступа к информации или попытки несанкционированных действий (непреднамеренных и умышленных ) в компьютерной сети. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Недостатки протоколов обмена и средств разграничения доступа к ресурсам серверов могут дать возможность несанкционированного доступа к защищаемой информации и оказания влияния на работу различных подсистем. При этом могут предприниматься попытки как удаленного (со станций сети ), так и непосредственного (с консоли сервера ) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, концентраторы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

4. Основные принципы обеспечения информационной безопасности

4.1. Общие принципы безопасного функционирования

• Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на его бизнес-цели.
• Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
• Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем.
• Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
• Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
• Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
• Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
• Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

4.2. Специальные принципы обеспечения информационной безопасности

• Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
• Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутреннем документе. Неопределенность приводит к “расплывчатости ” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
• Знание своих клиентов и работников. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (работников ), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
• Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
• Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
• Доступность услуг и сервисов. Организация должна обеспечить для своих клиентов и контрагентов доступность услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями ) и/или иными документами.
• Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно, наблюдаем (прозрачен ) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

5. Цели и задачи обеспечения информации безопасности

5.1. Субъекты информационных отношений в Автоматизированной системе

Субъектами правоотношений при использовании АС и обеспечении безопасности информации являются:

• Организация как собственник информационных ресурсов;
• подразделения организации, обеспечивающие эксплуатацию АС;
• работники структурных подразделений организации, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
• юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС;
• другие юридические и физические лица, задействованные в процессе создания и функционирования АС (разработчики компонент системы, организации, привлекаемые для оказания различных услуг в области информационных технологий и др. ).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

• конфиденциальности определенной части информации;
• достоверности (полноты, точности, адекватности, целостности ) информации;
• защиты от навязывания ложной (недостоверной, искаженной ) информации;
• своевременного доступа к необходимой информации;
• разграничения ответственности за нарушения законных прав (интересов ) других субъектов информационных отношений и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п. ).

5.2. Цель обеспечения безопасности информации

Основной целью обеспечения безопасности информации является защита субъектов информационных отношений от возможного нанесения им материального, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

• доступности обрабатываемой информации для зарегистрированных пользователей;
• конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
• целостности и аутентичности информации, хранимой, обрабатываемой и передаваемой по каналам связи.

5.3. Задачи обеспечения безопасности информации

Для достижения основной цели обеспечения безопасности информации система информационной безопасности АС должна обеспечивать эффективное решение следующих задач:

• защиту от вмешательства в процесс функционирования АС посторонних лиц;
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС, то есть защиту от несанкционированного доступа;
• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
• защиту от несанкционированной модификации и контроль целостности (обеспечение неизменности ) среды исполнения программ и ее восстановление в случае нарушения;
• защиту от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
• защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
• обеспечение аутентификации пользователей, участвующих в информационном обмене;
• обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
• своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

5.4. Пути решения задач обеспечения безопасности информации

Решение задач обеспечения безопасности информации достигается:

• строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ );
• регламентацией процессов обработки информации и действий работников структурных подразделений организации, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• назначением и подготовкой работников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;
• наделением каждого работника минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
• четким знанием и строгим соблюдением всеми работниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
• реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
• принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
• применением технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
• разграничением потоков информации и запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
• эффективным контролем за соблюдением работниками требований по обеспечению безопасности информации;
• постоянным мониторингом сетевых ресурсов, выявлением уязвимостей, своевременным обнаружением и нейтрализацией внешних и внутренних угроз безопасности компьютерной сети;
• юридической защитой интересов организации от противоправных действий в области информационной безопасности.
• проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС.

6.Угрозы безопасности информации

6.1. Угрозы безопасности информации и их источники

Наиболее опасными угрозами безопасности информации, обрабатываемой в АС, являются:

• нарушение конфиденциальности (разглашение, утечка ) сведений, составляющих служебную или коммерческую тайну, в том числе персональных данных;
• нарушение работоспособности (дезорганизация работы ) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение ) информационных, программных и других ресурсов АС.

Основными источниками угроз безопасности информации АС являются:

• неблагоприятные события природного и техногенного характера;
• террористы, криминальные элементы;
• компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
• поставщики программно-технических средств, расходных материалов, услуг и т.п.;
• подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
• несоответствие требованиям надзорных и регулирующих органов, действующему законодательству;
• сбои, отказы, разрушения/повреждения программных и технических средств;
• работники, являющиеся легальными участниками процессов в АС и действующие вне рамок предоставленных полномочий;
• работники, являющиеся легальными участниками процессов в АС и действующие в рамках предоставленных полномочий.

6.2. Непреднамеренные действия, приводящие к нарушению информационной безопасности, и меры по их предотвращению

Работники организации, имеющие непосредственный доступ к процессам обработки информации в АС, являются потенциальным источником непреднамеренных случайных действий, которые могут привести к нарушению информационной безопасности.

Основные непреднамеренные действия, приводящие к нарушению информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла ) и меры по предотвращению подобных действий и минимизации наносимого ими ущерба приведены в Таблице 1 .

Таблица 1

6.3. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Основные умышленные действия (с корыстными целями, по принуждению, из желания отомстить и т.п. ), приводящие к нарушению информационной безопасности АС, и меры по их предотвращению и снижению возможного наносимого ущерба приведены в Таблице 2 .

Таблица 2

6.4. Утечка информации по техническим каналам

При эксплуатации технических средств АС возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

• побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
• наводки информативного сигнала, обрабатываемого на средствах электронно-вычислительной техники, на провода и линии, выходящие за пределы контролируемой зоны офисов, в т.ч. на цепи заземления и электропитания;
• различные электронные устройства перехвата информации (в т.ч. «закладки» ), подключенные к каналам связи или техническим средствам обработки информации;
• просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
• воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения ) информации, работоспособности технических средств, средств защиты информации и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки» ).

С учетом специфики обработки и обеспечения безопасности информации угрозы утечки конфиденциальной информации (в том числе персональных данных ) по техническим каналам являются для организации неактуальными.

6.5. Неформальная модель вероятного нарушителя

Нарушитель — это лицо, которое предприняло попытку выполнения запрещенных операций (действий ) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов ) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п. ) и использующее для этого различные возможности, методы и средства.

Система защиты АС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др. ):

• «Неопытный (невнимательный) пользователь » – работник, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему ) аппаратные и программные средства.
• «Любитель » — работник, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса ». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей ), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции ) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств ). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты ), самостоятельно разработанные программы или стандартные дополнительные технические средства.
• «Мошенник » – работник, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему ) аппаратные и программные средства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п. ).
• «Внешний нарушитель (злоумышленник) » — постороннее лицо или бывший работник, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола ), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС организации.
• «Внутренний злоумышленник » — работник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с лицами, не являющимися работниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ ), а также комбинации воздействий как изнутри, так и из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала:

• зарегистрированные конечные пользователи АС (работники подразделений и филиалов );
• работники, не допущенные к работе с АС;
• персонал, обслуживающий технические средства АС (инженеры, техники );
• работники подразделений разработки и сопровождения программного обеспечения (прикладные и системные программисты );
• технический персонал, обслуживающий здания и помещения организации (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компоненты АС );
• руководители различных уровней.

• уволенные работники;
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго- , водо- , теплоснабжения и т.п. );
• представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
• члены преступных организаций и конкурирующих коммерческих структур или лица, действующие по их заданию;
• лица, случайно или умышленно проникшие в сети из внешних сетей («хакеры» ).

Пользователи и обслуживающий персонал из числа работников имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации. Действия этой группы нарушителей напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные работники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников организации всеми доступными им силами и средствами.

Хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу они представляют при взаимодействии с работающими или уволенными работниками и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

7. Техническая политика в области обеспечения безопасности информации

7.1. Основные положения технической политики

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия ), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение ), а отдельные разрабатываемые элементы АС должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных ) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС является обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала ) к работам, документам и информации конфиденциального характера;
• ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается ) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации в подсистемах различного уровня и назначения, входящих в АС;
• учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
• криптографическая защита информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
• надежное хранение машинных носителей информации, криптографических ключей (ключевой информации ) и их обращение, исключающее хищение, подмену и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• снижение уровня и информативности побочных излучений и наводок, создаваемых различными элементами автоматизированных подсистем;
• электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
• противодействие оптическим и лазерным средствам наблюдения.

7.2. Формирование режима безопасности информации

С учетом выявленных угроз безопасности АС режим безопасности информации должен формироваться как совокупность способов и мер защиты циркулирующей в АС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима безопасности информации включает:

• установление в АС организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство );
• выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам;
• организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа ) к информационным ресурсам АС;
• комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.

8. Меры, методы и средства обеспечения безопасности информации

8.1. Организационные меры

Организационные меры — это меры организационного характера, регламентирующие процессы функционирования АС, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности и снизить размер ущерба в случае их реализации.

8.1.1. Формирование политики безопасности

Главная цель организационных мер — сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности АС целесообразно разбить на два уровня. К верхнему уровню относятся решения, затрагивающие деятельность организации в целом. Примером таких решений могут быть:

• формирование или пересмотр комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
• формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
• принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне организации в целом;
• обеспечение нормативной (правовой ) базы вопросов безопасности и т.п.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

• какова область применения политики безопасности информации;
• каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
• кто имеет права доступа к информации ограниченного распространения;
• кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

• предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
• определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
• выбирать программные и аппаратные средства криптографической защиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

8.1.2. Регламентация доступа к техническим средствам

Эксплуатация защищенных АРМ и серверов Банка должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п. ). Размещение и установка технических средств таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой ) информации лицами, не имеющими к ней отношения. Уборка помещений с установленным в них оборудованием должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану.

Для хранения служебных документов и машинных носителей с защищаемой информацией работники обеспечиваются металлическими шкафами, а также средствами уничтожения документов.

Технические средства, которые используются для обработки или хранения конфиденциальной информации должны опечатываться.

8.1.3. Регламентация допуска работников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей АС информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение ) с помощью заданных программно-технических средств доступа.

Допуск работников к работе с АС и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком.

Основными пользователями информации в АС являются работники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

• открытая и конфиденциальная информация размещаются по возможности на различных серверах;
• каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
• начальник имеет права на просмотр информации своих подчиненных;
• наиболее ответственные технологические операции должны производиться по правилу «в две руки» — правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все работники, допущенные к работе в АС и обслуживающий персонал АС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый работник при приеме на работу должен подписывать Обязательство о соблюдении требований по сохранению конфиденциальной информации и ответственности за их нарушение, а также о выполнении правил работы с защищаемой информацией в АС.

Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (порядками ) для данных подсистем.

Для пользователей, защищенных АРМ должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

8.1.4. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных в АС и допуск работников к работе с этими базами данных должны быть строго регламентированы. Любые изменения состава и полномочий пользователей баз данных АС должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на работников Департамента информационных технологий. При этом могут использоваться как штатные, так и дополнительные средства защиты СУБД и операционных систем.

8.1.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (задачи, программы, АРМ ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных ).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, USB, LPT порты, дисководы НГМД, CD и другие носители информации ) на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами ).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств, существующих АРМ в АС организации должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами организации, полученное или приобретенной у фирм-производителей ) должно установленным порядком проходить испытания и передаваться в депозитарий программ организации. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из депозитария программные средства. Использование в АС программного обеспечения, не учтенного в депозитарии программ, должно быть запрещено.

Разработка программного обеспечения, проведение испытаний разработанного и приобретенного программного обеспечения, передача программного обеспечения в эксплуатацию должна осуществляться в соответствии с установленным порядком.

8.1.6. Подготовка и обучение пользователей

До предоставления доступа к АС ее пользователи, а также руководящий и обслуживающий персонал должны быть ознакомлены с перечнем конфиденциальной информации и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки такой информации.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает в АС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все работники, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите АС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под подпись.

8.1.7. Ответственность за нарушение требований информационной безопасности

По каждому серьезному нарушению требований информационной безопасности работниками организации должно проводиться служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

• индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
• проверка подлинности пользователей (аутентификация ) на основе паролей, ключей на различной физической основе и т.п.;
• регистрация (протоколирование ) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д. ).

8.2. Технические средства защиты

Технические (аппаратно-программные ) средства защиты — различные электронные устройства и специальные программы, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д. ).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

• средства аутентификации пользователей и элементов АС (терминалов, задач, элементов баз данных и т.п. ), соответствующих степени конфиденциальности информации и обрабатываемых данных;
• средства разграничения доступа к данным;
• средства криптографической защиты информации в линиях передачи данных и в базах данных;
• средства регистрации обращения и контроля за использованием защищаемой информации;
• средства реагирования на обнаруженный НСД или попытки НСД;
• средства снижения уровня и информативности побочных излучений и наводок;
• средства защиты от оптических средств наблюдения;
• средства защиты от вирусов и вредоносных программ;
• средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается оборудование.

На технические средства защиты от НСД возлагается решение следующих основных задач:

• идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п. );
• регламентация доступа пользователей к физическим устройствам рабочих станций (дискам, портам ввода-вывода );
• избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
• полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
• создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
• защита от проникновения компьютерных вирусов и вредоносных программ;
• контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
• регистрация действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
• защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
• централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
• регистрация всех событий НСД, происходящих на рабочих станциях;
• оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости ) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

• физическая целостность всех компонент АС обеспечена;
• каждый работник (пользователь системы ) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
• использование на рабочих станциях инструментальных и технологических программ (тестовых утилит, отладчиков и т.п. ), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
• в защищенной системе нет программирующих пользователей, а разработка и отладка программ осуществляется за пределами защищенной системы;
• все изменения конфигурации технических и программных средств производятся строго установленным порядком;
• сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п. ) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п. );
• службой информационной безопасности осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.

8.2.1. Средства идентификации и аутентификации пользователей

В целях предотвращения доступа в АС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте ) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности ) пользователей должна осуществляться на основе использования паролей (секретных слов) или специальных средств аутентификации проверки уникальных характеристик (параметров) пользователей.

8.2.2. Средства разграничения доступа к ресурсам Автоматизированной системы

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю, т.е. какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

• на контролируемую территорию;
• в отдельные помещения;
• к элементам АС и элементам системы защиты информации (физический доступ );
• к ресурсам АС (программно-математический доступ );
• к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д. );
• к активным ресурсам (прикладным программам, задачам, формам запросов и т.п. );
• к операционной системе, системным программам и программам защиты и т.п.

8.2.3. Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• средствами подсчета контрольных сумм;
• средствами электронной подписи;
• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности );
• средствами разграничения доступа (запрет доступа с правами модификации или удаления ).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

• дублирование системных таблиц и данных;
• дуплексирование и зеркальное отображение данных на дисках;
• отслеживание транзакций;
• периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
• антивирусная защита и контроль;
• резервное копирование данных по заранее установленной схеме.

8.2.4. Средства контроля событий безопасности

Средства контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п. ), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля должны предоставлять возможности:

• постоянного контроля ключевых узлов сети и сетеобразующего коммуникационного оборудования, а также сетевой активности в ключевых сегментах сети;
• контроля использования пользователями корпоративных и публичных сетевых сервисов;
• ведения и анализа журналов регистрации событий безопасности;
• своевременным обнаружением внешних и внутренних угроз информационной безопасности.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

• дата и время события;
• идентификатор субъекта (пользователя, программы ), осуществляющего регистрируемое действие;
• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа ).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

• вход пользователя в систему;
• вход пользователя в сеть;
• неудачная попытка входа в систему или сеть (неправильный ввод пароля );
• подключение к файловому серверу;
• запуск программы;
• завершение программы;
• попытка запуска программы, недоступной для запуска;
• попытка получения доступа к недоступному каталогу;
• попытка чтения/записи информации с диска, недоступного пользователю;
• попытка запуска программы с диска, недоступного пользователю;
• нарушение целостности программ и данных системы защиты и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности ):

• извещение владельца информации о НСД к его данным;
• снятие программы (задания ) с дальнейшего выполнения;
• извещение администратора баз данных и администратора безопасности;
• отключение терминала (рабочей станции ), с которого были осуществлены попытки НСД к информации или неправомерные действия в сети;
• исключение нарушителя из списка зарегистрированных пользователей;
• подача сигнала тревоги и др.

8.2.5. Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи и хранении на машинных носителях информации.

Все средства криптографической защиты информации в АС должны строиться на основе базисного криптографического ядра. На право использования криптографических средств информации организация должна иметь установленные законодательством лицензии.

Ключевая система применяемых в АС средств криптографической защиты должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе средств абонентского и канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться стандартизованные алгоритмы электронной подписи.

8.3. Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические ) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой управления, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на работников департамента информационных технологий и департамента экономической безопасности.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

8.4. Контроль эффективности системы защиты

Контроль эффективности системы защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Оценка эффективности мер защиты информации проводится с использованием организационных, технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

8.5. Особенности обеспечения информационной безопасности персональных данных

Классификация персональных данных проводится в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

• О персональных данных ” к специальным категориям персональных данных;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к биометрическим персональным данным;
• персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к общедоступным или обезличенным персональным данным.

Передача персональных данных третьему лицу должна осуществляться на основании Федерального закона или согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Организация должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в сроки, установленные законодательством РФ в следующих случаях:

• по достижении целей обработки или при утрате необходимости в их достижении;
• по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
• при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

В организации должны быть определены и документально зафиксированы:

• порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных );
• порядок обработки обращений субъектов персональных данных (или их законных представителей ) по вопросам обработки их персональных данных;
• порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных;
• подход к отнесению АС к информационным системам персональных данных (далее — ИСПДн );
• перечень ИСПДн. В перечень ИСПДн должны быть включены АС, целью создания и использования которых является обработка персональных данных.

Для каждой ИСПДн должны быть определены и документально зафиксированы:

• цель обработки персональных данных;
• объем и содержание обрабатываемых персональных данных;
• перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

Требования по обеспечению безопасности персональных данных в ИСПДн в об­щем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.

Организация выполнения и (или ) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персо­нальных данных, либо на договорной основе организацией - контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Создание ИСПДн организации должно включать разработку и согласование (утверждение ) предусмотренной техническим заданием организационно­ распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации долж­ны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника), ответст­венного за обеспечение безопасности персональных данных.

Все информационные активы, принадлежащие ИСПДн организации, долж­ны быть защищены от воздействий вредоносного кода. В организации должны быть оп­ределены и документально зафиксированы требования по обеспечению безопасности персо­нальных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований.

В организации должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода­ вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации обеспечивают безопасность персональных данных при их обработке в ИСПДн.

Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п. ), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов по обеспечению ИБ.

Обязанности по администрированию средств защиты и механизмов защиты, реа­лизующих требования по обеспечению ИБ ИСПДн организации, возлагаются приказами (распоряжениями ) на специалистов департамента информационных технологий.

Порядок действий специалистов Департамента информационных технологий и пер­сонала, занятых в процессе обработки персональных данных, должен быть определен инструк­циями (руководствами ), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.

Указанные инструкции (руководства ):

• устанавливают требования к квалификации персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;
• содержат в полном объеме актуальные (по времени ) данные о полномочиях пользова­телей;
• содержат данные о технологии обработки информации в объеме, необходимом для специалиста по информационной безопасности;
• устанавливают порядок и периодичность анализа журналов регистрации событий (архи­вов журналов );
• регламентируют другие действия.

Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности специалистов Департамента информационных технологий, опре­деляются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом, при этом проверки долж­ны проводиться не реже чем раз в год.

В организации должен быть определен и документально зафиксирован по­рядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторон­них лиц и наличие препятствий для несанкционированного проникновения в помещения. Указанный порядок должен быть разработан структурным подразделением или должно­стным лицом (работником ), ответственным за обеспечение режима физи­ческой безопасности и согласован структурным подразделением или долж­ностным лицом (работником ), ответственным за обеспечение безопасно­сти персональных данных, и департаментом экономической безопасности.

Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанк­ционированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных дан­ных. С этой целью организационно-­техническими мерами должно быть запрещено несанкцио­нированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных данных, в том числе с использованием отчуждаемых (сменных ) носителей информации, мобильных уст­ройств копирования и переноса информации, коммуникационных портов и устройств ввода­ вывода, реализующих различные интерфейсы (включая беспроводные ), запоминающих уст­ройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов ), а также устройств фото­ и видеосъемки.

Контроль обеспечения безопасности персональных осуществляется специалистом по информационной безопасности, как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

Скачать ZIP файл (65475)

Пригодились документы - поставь «лайк» или :