С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

Что защищать?

Какие виды угроз превалируют: внешние или внутренние?

Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

• статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
• динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.

Дайджест информационной безопасности

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

• информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
• права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
• система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
• система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

• информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
• сведения в открытом доступе;
• общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
• опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

• на информационное самоопределение;
• на доступ к личным персональным данным и внесение в них изменений;
• на блокирование персональных данных и доступа к ним;
• на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
• на возмещение причиненного ущерба.

Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

• печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• документы всех типов: личные, служебные, государственные;
• программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.

Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

• Нормативные средства

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:

• ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
• IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

• Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

• Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

Введение

информационный крипточеский оптический

Информация является важнейшим ресурсом человеческого общества. Она выражается в накопленном в течение многих лет многоаспектном информационном потенциале, хранящемся на территории проживания данного общества, то есть на нашей планете. Все возрастающие объемы разнообразной информации (символьной, текстовой, графической и др.) и расширение круга ее пользователей вызывают потребность контролировать ее достоверность, обеспечивать защиту от несанкционированного доступа, искажения, потери и копирования с целью соблюдения государственного и мирового законодательства, а также прав авторов информации.

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность не только становится обязательной, она еще и одна из характеристик информационной системы. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы).

Информационной системой называют совокупность взаимосвязанных средств, которые осуществляют хранение и обработку информации, также называют информационно-вычислительными системами. В информационную систему данные поступают от источника информации. Эти данные отправляются на хранение либо претерпевают в системе некоторую обработку и затем передаются потребителю.

Под безопасностью информационной системы понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Иначе говоря, это способность противодействовать различным возмущающим воздействиям на информационную систему.

Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.

Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, обычно называют взломщиком или «компьютерным пиратом» (хакером).

В своих противоправных действиях, направленных на овладение чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. С помощью различного рода уловок и множества приемов и средств подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.

В настоящее время для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т.д.). Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.

Сегодня можно утверждать, что рождается новая современная технология - технология защиты информации в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличивающихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз информационной системе и информационным технологиям.

Меры информационной безопасности

Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Она включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется

Можно выделить следующие направления мер информационной безопасности.

Правовые

Организационные

Технические

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение

К организационным мерам относят охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

Методы, средства и условия обеспечения информационной безопасности

Методами обеспечения защиты информации на предприятиях являются:

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.)

Управление доступом - метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

Идентификация пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

Аутентификация (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

Проверка полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

Разрешение и создание условий работы в пределах установленного регламента;

Регистрация (протоколирование) обращений к защищаемым объектам и информации;

Реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированного действия.

Маскировка - метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.

Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение - такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение - такой метод защиты информации, который побуждает пользователей и персонал не нарушать установленных правил за счет сложившихся моральных, этических норм.

Средства защиты информации

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации. В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические средства

Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки.

Для защиты периметра информационной системы создаются:

Системы охранной и пожарной сигнализации;

Системы цифрового видео наблюдения;

Системы контроля и управления доступом (СКУД). Защита информации от ее утечки техническими каналами связи обеспечивается следующими средствами и мероприятиями:

Использованием экранированного кабеля и прокладка проводов и кабелей в экранированных конструкциях;

Установкой на линиях связи высокочастотных фильтров;

Построение экранированных помещений («капсул»);

Использование экранированного оборудования;

Установка активных систем зашумления;

Создание контролируемых зон.

Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Для современных предприятий характерно стремительное развитие их информационной среды. Постоянное накопление информации требует ее надлежащей обработки и хранения.

В результате работы с данными важной задачей является организация защиты информации на предприятии.

Если правильно не организовать работу в этом направлении, то можно потерпеть крах в современной экономической среде, которая не всегда отличается доброжелательной конкуренцией.

Зачастую все обстоит по-другому, конкурирующие фирмы стараются правильными и неправильными способами получить информацию о своем конкуренте, чтобы опередить его в развитии и продвижении на рынке.

На сегодня защита информации на предприятии представляет собой комплекс мер, которые направлены на то, чтобы сохранить целостность, уберечь от кражи и подмены следующих данных:

1. база данных клиентов и партнеров;
2. электронный документооборот компании;
3. технические нюансы деятельности предприятия;
4. коммерческие тайны.

Для успешного управления огромными потоками перечисленных данных предприятие должно иметь систему менеджмента информационной безопасности.

Способы защиты информации

Она должна непрерывно работать на решение задачи защиты важной информации и отличаться хорошей защитой от внешних угроз и атак.

Оценка рисков

Система защиты информации на предприятии должна разрабатываться с учетом рисков, которые наиболее часто встречаются в информационной среде современных компаний.

К основным из них следует отнести:

• попытки получения доступа к данным, которые недоступны для неавторизованных пользователей информационной системы предприятия;
• несанкционированное изменение и подмена информации, которая может привести к потере предприятиями своей репутации и имиджа;
• попытки получения доступа и кражи конфиденциальной, секретной и технической информации.

Исходя из перечисленных рисков, должны выбираться методы и алгоритмы защиты важной для предприятия информации.

Чтобы эту задачу решить положительно, на предприятии должна быть разработана и внедрена информационная политика, согласно которой производится градация данных, которая могут иметь открытый или только закрытый доступ.

Возможные источники проблем

Чтобы правильно выбрать методы защиты информации на предприятии и эффективно использовать их следует определиться с источниками возможных угроз потери данных.

К основным из них относятся:

1. сбои в аппаратной системе предприятия, обеспечивающей обработку и хранения данных;
2. мошенничество с целью получения доступа к информации;
3. искажение данных с целью получения неправомерной выгоды или нанесения ущерба компании;
4. подлог данных или их хищение с помощью различных аппаратных и программных средств;
5. кража информации с помощью устройств, использующих для этого электромагнитное излучение, акустические сигналы, визуальное наблюдение.

Перечисленные угрозы могут исходить как от сторонних лиц, которым нужны определенные данные компании в личных интересах, конкурирующие фирмы или сотрудники организаций, которые небрежно выполняют свои функциональные обязанности, или решили передать важные данные конкурентам.

Если угроза исходит от сотрудников, то они, скорее всего, постараются незаметно скопировать информацию, воспользовавшись своими полномочиями, и передадут ее третьим лицам.

Когда данные стараются получить сторонние лица, в основном используются различные программные средства.

Они делятся на:

• спам-рассылку с вредоносными ссылками;
• вирусные программы;
• троянские и шпионские плагины;
• игровые закладки с измененным кодом под вирусный софт;
• ложное программное обеспечение с измененными функциями.

Учитывая перечисленные угрозы, защита конфиденциальной информации на предприятии должна строиться как на аппаратном, так и программном уровне. Только в комплексе можно успешно защитить свои данные от киберзлоумышленников.

Примеры неправомерных действий

В качестве примера неправомерных действий, направленных на получение выгоды от подделки, замены, кражи информации можно привести следующие.

1. Злоумышленник получает доступ к данным клиентов банка. Имея в наличии информацию о физлице, номерах его счетов, платежных карт, он может подделать документы или банковские карты и неправомерно снять деньги со счета другого человека.
2. Если киберпреступник получит доступ к электронным копиям документов, он сможет подделать оригинальные документы и оформить кредит на другого человека.
3. Во время расчета в интернет-магазине, злоумышленник, используя специальные плагины, может подменить реквизиты магазина, переведя деньги покупателя на свой счет, а не в магазин.
4. При передаче важной технической информации каналами связи, кибершпионы, используя различные средства слежения и считывания, могут просканировать канал, по которому передается информационный трафик и получить доступ к техническим секретам предприятия.

Процесс организации защиты информации на предприятии

К основным этапам комплексной защиты информации на предприятии относятся:

• формирование информационной политики предприятия, компании;
• создание внутреннего правового поля использования информации;
• формирование подразделения информационной защиты и безопасности.

Защитная деятельность компании должна вестись в следующих направлениях:

1. защита данных, которые обрабатываются и хранятся в архивах;
2. исключение вероятности несанкционированного проникновения в информационную среду компании;
3. правильная работа с персоналом для исключения краж важных данных сотрудниками компании.

Меры защиты

Для повышения информационной безопасности предприятиями активно используются следующие меры безопасности.

Формирование системы доступа к данным внутри корпоративной сети

Предприятиями используются различные автоматизированные системы управления доступом к данным согласно приоритетам и статусам сотрудников компании.

Это упрощает процедуру отслеживания перемещения потоков данных и выявления утечек информации.

Антивирусная защита

Использование эффективного антивирусного программного обеспечения исключит вероятность кражи данных с помощью специального софта.

Он может попасть в информационную среду компании по сети интернет.

Зачастую практикуется параллельное использование двух программных продуктов, отличающихся разными алгоритмами определения шпионского и вирусного софта.

Системы обнаружения и защиты от кибератак

Подобного рода системы активно внедряются в информационные системы предприятий, поскольку позволяют защитить не только от распространения программ с вредоносным кодом, а и блокируют попытки остановки информационной системы предприятия.

Обучение персонала сетевой безопасности

Многие компании проводят для своих сотрудников семинары и конференции, на которых обучают безопасному поведению в локальной и глобальной сетевой среде, а также безопасному обращению с информацией во время выполнения своих ежедневных функциональных обязанностей.

Это существенно сокращает риски, того что информация будет утеряна или передана третьим лицам по небрежности сотрудников.

Заключение

Комплексная система защиты информации на предприятии – это сложная задача, которую предприятию самостоятельно решить достаточно сложно.

Для этого существуют специализированные организации, которые помогут сформировать системы информационной безопасности для любого предприятия.

Квалифицированные специалисты умело создадут структуру защиты, концепцию ее внедрения в конкретной компании, а также выберут подходящие аппаратные и программные средства для решения поставленной задачи.

Также ими проводится подготовка сотрудников компаний, которые потом будут работать с внедренной системой безопасности и поддерживать ее функциональность на надлежащем уровне.

Видео: Подход к защите информации на современном Предприятии

Определению информации как сведений разного рода, представленных в любой форме и являющихся объектами различных процессов, соответствует следующая трактовка понятия «защита информации» в законе «Об информации, информационных технологиях и о защите информации».

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• 2) соблюдение конфиденциальности информации ограниченного доступа,
• 3) реализацию права на доступ к информации.

В соответствии с руководящими документами ФСТЭК России безопасность информации - это состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних и внешних угроз.

В соответствии с ГОСТ Р 50922-96 защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию .

Здесь отражено парирование двух видов угроз - несанкционированного получения (утечки) защищаемой информации и воздействия на защищаемую информацию.

Таким образом, под защитой информации понимается совокупность мероприятий и действий, направленных на обеспечение ее безопасности в процессе сбора, передачи, обработки и хранения.

В узком смысле приведенное определение понятия «защита информации» прежде всего тождественно понятию «обеспечение безопасности информации» (рис. 1.5). Отметим, что безопасность информации - это состояние ее защищенности от дестабилизирующего воздействия внешней среды (человека и природы) и внутренних угроз системы или сети, в которой она находится или может находиться, т.е. конфиденциальность, целостность и доступность информации.

Еще раз подчеркнем, что конфиденциальность информации - это статус (требование), определенный ее их обладателем и определяющий требуемую степень ее защиты. По существу конфиденциальность информации - это требование к информации быть известной только допущенным и прошедшим проверку (авторизованным)

Рис. 1.5.

субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Целостность информации - это способность информации (требование к информации) сохранять неизменным семантическое содержание (по отношению к исходным данным), т.е. ее устойчивость к случайному или преднамеренному искажению или разрушению.

Доступность информации - это способность (требование) объекта - информационной системы (сети) - обеспечивать своевременный беспрепятственный доступ авторизованных субъектов (пользователей, абонентов) к интересующей их информации или осуществлять своевременный информационный обмен между ними.

Субъект - это активный компонент системы, который может стать причиной образования потока информации от объекта к субъекту или изменения состояния системы. Объект - пассивный компонент системы, обрабатывающий, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.

Подчеркнем, что доступ к информации - возможность получения и использования информации, т.е. возможность ее приема, ознакомления с информацией, обработки, в частности, копирования, модификации или уничтожения информации.

Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации - это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации прав доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа.

Пользователь, программа или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа (одного из элементов политики безопасности). Несанкционированный доступ является наиболее распространенным видом компьютерных и сетевых нарушений.

Отметим, что в приведенной здесь трактовке понятия «защита информации» (как обеспечение безопасности информации - конфиденциальности, целостности и доступности информации) соответствует понятие «информационная безопасность». В соответствии с ГОСТ Р ИСО/МЭК 17799-2005 информационная безопасность - механизм защиты, обеспечивающий конфиденциальность (доступ к информации только авторизованных пользователей), целостность (достоверность и полноту информации и методов ее обработки) и доступность (доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости). В стандарте ОАО «РЖД» (СТО РЖД 1.18.002-2009) «Управление информационной безопасностью. Общие положения» информационная безопасность также определяется как состояние защищенности информации, при котором обеспечиваются такие ее характеристики, как конфиденциальность, целостность и доступность .

Осуществление деятельности по обеспечению информационной безопасности Российской Федерации возложено на государство, которое в соответствии с законодательством является основным субъектом обеспечения безопасности. Отметим, что государство - это организация политической власти, охватывающая определенную территорию и выступающая одновременно как средство обеспечения интересов всего общества и как особый механизм управления и подавления.

В Доктрине информационной безопасности Российской Федерации (2000 г.) под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:

• 1) соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны;
• 2) информационное обеспечение государственной политики РФ, связанное, в том числе, с обеспечением доступа граждан к открытым государственным информационным ресурсам;
• 3) развитие современных информационных технологий, отечественной индустрии информации, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок; обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов;
• 4) защита национальных информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Таким образом, целью обеспечения информационной безопасности Российской Федерации является, прежде всего, защита жизненно важных сбалансированных интересов субъектов информационных отношений в информационной сфере - граждан, сообществ людей, предприятий, организаций, корпораций, государства.

При всем многообразии видов организаций, направлений и масштабов их деятельности, численности участников их существенными активами являются информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура, т.е. информационные активы. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

Содержание их информационной безопасности заключается в защищенности целенаправленной деятельности, связанной с информацией и информационной инфраструктурой, предоставляемых информационных услуг, других информационных активов организации. К ним относятся информационные системы и ресурсы, объекты интеллектуальной собственности, имущественные права на эти объекты, личные неимущественные права членов организации, права на сохранение установленного режима доступа к сведениям, составляющим охраняемую законом тайну, например, коммерческую тайну и персональные данные. Эти составляющие организации как объекта информационной безопасности и защищаются от внешних и внутренних угроз.

Под информационной безопасностью организации, корпорации, предприятия будем понимать состояние защищенности информационных активов (ресурсов) - информации и информационной инфраструктуры, других информационных активов, при котором обеспечивается приемлемый риск нанесения ущерба в условиях проявления внешних и внутренних, случайных и преднамеренных угроз.

Главной целью обеспечения информационной безопасности организаций является минимизация или достижение приемлемого риска или экономического ущерба при нарушении безопасности информации - компрометации ее конфиденциальности, нарушении целостности и доступности.

При разработке требований к безопасности организации в целом и безопасности ее «информационного измерения» - информационной безопасности, анализе и оценивании защищенности, управлении информационной безопасностью организации, как правило, используется методология приемлемого (или неприемлемого) риска деятельности организации (рис. 1.6). Величина риска определяется ожидаемой опасностью наступления неблагоприятных

Рис. 1.6.

безопасности последствий, обусловленных проявлением угроз деятельности организации (вероятностью реализации угрозы и ценностью ресурса).

К основным задачам обеспечения информационной безопасности организации, корпорации, предприятия относятся:

• - выявление наиболее важных, а также слабых и уязвимых в информационном отношении объектов;
• - оценивание и прогнозирование источников угроз информационной безопасности и способов их реализации;
• - разработка политики обеспечения информационной безопасности корпорации, комплекса мероприятий и механизмов ее реализации;
• - разработка нормативной базы обеспечения информационной безопасности корпорации, координация деятельности органов управления по обеспечению информационной безопасности;
• - разработка мероприятий по обеспечению информационной безопасности при угрозе или возникновении чрезвычайных ситуаций;
• - развитие иерархической системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности;
• - обеспечение безопасной интеграции корпоративной системы или сети в глобальные информационные сети и системы.

Широкое толкование понятия «защита информации» предусматривает совокупность мероприятий по обеспечению безопасности информации, представленной в любой материальной форме, безопасности функционирования информационных систем и телекоммуникационных сетей и использования информационных технологий. И в этом смысле оно совпадает с формирующимся представлением о понятии «обеспечение информационной безопасности» информационных или телекоммуникационных систем (в настоящее время не определенном законодательными актами).

Приведенная современная трактовка защиты информации (в широком смысле - как обеспечение безопасности информации и информационной инфраструктуры - информационных систем и технологий) не имеет достаточно четкой границы с процессом обеспечения информационной безопасности .

В то же время содержание процессов обеспечения информационной безопасности и защиты информации (и соответственно понятий информационной безопасности и безопасности информации) различается уровнем иерархии и сложности организации защищаемых объектов, и характером угроз. Обеспечение информационной безопасности объектов предполагает «защиту информации» и «защиту от информации», обеспечение защищенности (безопасности) информации и информационной инфраструктуры от проявления угроз. Оба понятия предполагают использование комплекса мер и средств защиты - правовых, организационных и технологических (технических) с акцентом на той или иной их группе.

Примем следующую трактовку понятий «информационная безопасность» и «обеспечение информационной безопасности».

Сначала отметим, что понятие безопасность определяется как «состояние, при котором не угрожает опасность, есть защита от опасности», и в общем случае как невозможность нанесения вреда кому-нибудь или чему-нибудь вследствие проявления угроз, т.е. их защищенность (состояние защищенности) от угроз. Понятие обеспечение будем рассматривать двояко - как деятельность и средства деятельности - и включать в него также субъектов обеспечения.

В соответствии с работой в структуре понятия «информационная безопасность» будем выделять объект информационной безопасности, угрозы этому объекту и обеспечение его информационной безопасности от проявления угроз (рис. 1.7).

В контексте глобальной проблемы безопасного развития в качестве основных объектов информационной безопасности рассматриваются человек, общество (сообщества людей, организации, включая корпорации, предприятия и т.п.) и государство.

В наиболее общем виде для этих объектов информационная безопасность может быть определена как невозможность нанесения вреда свойствам объекта безопасности или свойствам его структурных составляющих, обусловливаемым информацией и информационной инфраструктурой, т.е. как безопасность (состояние защищенности) их «информационного измерения».

На основе вышеизложенного можно определить содержание информационной безопасности человека, общества и государства как безопасности их «информационного измерения».

Информационная безопасность человека состоит в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой инфор-

Рис. 1.7.

мации, информационных взаимодействиях с другими индивидами и которая часто использует информацию в качестве предмета деятельности.

Информационная безопасность общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям.

Информационная безопасность государства заключается в невозможности нанесения вреда его деятельности по выполнению функций управления делами общества, связанных с использованием информации и информационной инфраструктуры общества. Иногда, принимая важность компоненты информационной безопасности, связанной с воздействиями на психику и сознание человека и общественное сознание, в ней выделяют информационно-психологическую безопасность.

Обеспечение информационной безопасности характеризуется деятельностью по недопущению вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой, а также средствами и субъектами этой деятельности.

Таким образом, обеспечение информационной безопасности рассматривается прежде всего как решение глобальной проблемы безопасного развития мировой цивилизации, государств, сообществ людей, отдельного человека, существования природы. При этом понятие «информационная безопасность» характеризует состояние защищенности человека, общества, государства, природы в условиях возможного действия двух видов обобщенных угроз: компрометации (разглашения) принадлежащих им тайн, а также негативного (случайного или преднамеренного) воздействия информации на их информационные подсистемы (сознание и психику отдельного человека, массовое сознание, информационную сферу (среду), общества и государства, информационно-чувствительные элементы природных объектов).

Под информационной безопасностью человека, общества, государства будем понимать состояние защищенности их «информационного измерения» (жизненно важных интересов человека, общества, государства в информационной сфере; информационных активов организации, корпорации, предприятия; собственно информации и информационной инфраструктуры) от проявления внешних и внутренних, случайных и преднамеренных угроз.

Конкретные формулировки будут приведены в следующем пункте.

В последние годы понятие «информационная безопасность» распространилось (но не закреплено законодательно) и на такие объекты информационной безопасности как собственно информационные и автоматизированные системы, корпоративные и телекоммуникационные сети. Примем для них следующую трактовку понятия «информационная безопасность» .

Информационная безопасность корпоративной информационной системы или сети представляет собой состояние защищенности находящейся или циркулирующей в ней информации и ее информационной инфраструктуры, которое обеспечивает устойчивое функционирование системы или сети в условиях действия дестабилизирующих факторов (угроз).

Информацией являются любые данные, находящиеся в памяти вычислительной системы, любое сообщение, пересылаемое по сети, и любой файл, хранящийся на каком-либо носителе. Информацией является любой результат работы человеческого разума: идея, технология, программа, различные данные (медицинские, статистические, финансовые), независимо от формы их представления. Все, что не является физическим предметом и может быть использовано человеком, описывается одним словом - информация.

Информация:

Информация свободного доступа

Информация ограниченного доступа

1. Конфиденциальная информация

   Секретная информация

Конфиденциальная (confidential, частный) – служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, промышленной тайне и других законодательных актов. Собственник информации может самостоятельно установить ее статус как конфиденциальной (например, личная тайна). Требует безусловной защиты.

Служебная тайна - сведения, связанные с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам и не являющиеся государственными секретами. К таким сведениям относятся:

информация, содержащая сведения, используемые сотрудниками организации для работы в служебных целях;

данные, полученные в результате обработки служебной информации с помощью технических средств (оргтехники);

документы (носители), образующиеся в результате творческой деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, необходимые для нормального функционирования организации.

Информация секретная – информация, содержащая в соответствии с законом о Гос. Тайне сведения, составляющие таковую. Требует самой высокой степени защиты

Гос тайна – защищаемые государством сведения в области его военной, оборонной, внешнеполитической, экономической, разведывательной и т.п. деятельности, распространение которых может нанести ущерб безопасности государства. Распространение ГОС СЕКРЕТОВ регулируется государством и контролируется спецслужбами.

Виды информации ограниченного доступа

И нформационнаяб езопасность (ИБ) – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемый ущерб владельцам, и пользователям информации.

ЗАЩИТА ИНФОРМАЦИИ – это комплекс мероприятий, направленный на предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на эту информацию.

НСД - НеСанкционированный Доступ -unauthorizedaccessОдно из наиболее распространенных и разнообразных по форме нарушений безопасности компьютерной системы. Заключается в получении нарушителем доступа к ресурсу (объекту) в нарушение установленных в соответствии с политикой безопасности правил разграничения доступа. Для НСД используется любая ошибка в системе безопасности, и он может быть осуществлен как с помощью штатного ПО и средств ВТ, так и специально разработанными аппаратными и/или программными средствами.

ИБ должна обеспечивать:

целостность данных –под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

2. конфиденциальность информации -это защита от несанкционированного доступа к информации ограниченного доступа, в том числе, защита от нелегального хищения, изменения или уничтожения. (ПРИМЕР с коммерческой и личной информацией, служебной, гос. тайной)

3. доступность для санкционированного доступа – это возможность за приемлемое время получить требуемую информацию.

Основные направления деятельности по защите информации

Принципы построения систем защиты информации (информационной безопасности)

Системность

Комплексность

Непрерывность защиты

Разумная достаточность

Гибкость управления и применения

Открытость алгоритмов и механизмов защиты

Простота применения защитных методов и средств

Кроме того, любые используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной информационной системой - резко снижать производительность, повышать сложность работы и т.п. СЗИ должна быть ориентирована на тактическое опережение возможных угроз, а также обладать механизмами восстановления нормальной работы КС в случае реализации угроз.

Принципы защиты информации от НСД

Закрытие каналов несанкционированного получения информации должно начинаться с контроля доступа пользователей к ресурсам ИС. Эта задача решается на основе ряда принципов:

Прицип обоснованности доступа заключается в обязательном выполнении следующего условия: пользователь должен иметь достаточную форму допуска для получения информации требуемого им уровня конфиденциальности с тем, чтобы выполнить заданные производственные функции. В качестве пользователей могут выступать активные программы и процессы, а также носители информации.

Принцип разграничения - для предупреждения нарушения безопасности информации, которое, например, может произойти при записи секретной информации на несекретные носители и в несекретные файлы, при передаче ее программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации и прав доступа к этой информации

Принцип чистоты ресурсов заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

Принцип персональной ответственности - каждый пользователь ИС должен нести персональную ответственность за свою деятельность в системе, включая любые операции с секретной информацией и возможные нарушения ее защиты – случайные или умышленные действия, которые приводят или могут привести к НСД или, наоборот делают такую информацию недоступной для законных пользователей

Принцип целостности средств защиты подразумевает, что средства защиты информации в ИС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей. С целью своего сопровождения средства защиты должны включать специальный защищенный интерфейс для средств контроля, сигнализации и фиксирования.

2. Методы и средства защиты информации

Методы защиты информации

препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации

управление доступом – метод определения и распределения ресурсов системы санкционированным пользователям

шифрование - метод защиты информации в коммуникационных каналах путем ее криптографического закрытия. Этот метод защиты широко применяется как для обработки, так и для хранения информации. При передаче информации по коммуникационным каналам большой протяженности этот метод является единственно надежным.

регламентация – метод защиты информации, создающий специальные условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

принуждение - такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

побуждение - метод защиты информации, который стимулирует пользователя и персонал системы не нарушать установленных норм (высокая зарплата)

Средства

технические реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится нааппаратные ифизические .

Под аппаратными принято понимать встроенные электронные устройства. Из наиболее известных аппаратных средств можно назвать схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. д.

Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях помещений с аппаратурой, решетки на окнах, охранная сигнализация, камеры видеонаблюдения.

Физические средства защиты:

обеспечивают безопасность помещений, где размещены серверы сети;

ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

обеспечивают защиту от сбоев электросети.

программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Стандартные защищенные программные средства:

Средства защиты, использующие парольную идентификацию и ограничивающие доступ пользователей согласно назначенным правам - управление доступом и разграничение полномочий (идентификация+аутентификация+авторизация)

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация " иногда используют словосочетание "проверка подлинности".

Регистрация и анализ событий, происходящих в системе - обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации;

Контроль целостности ресурсов системы предназначен для своевременного обнаружения их модификации. Это позволяет обеспечить правильность функционирования системы и целостность обрабатываемой информации.

Криптографическое закрытие информации

Защита от внешних вторжений - брандмауэры

Защита от компьютерных вирусов - антивирусные пакеты,антиспамовые фильтры

Средства резервного копирования и восстановления данных

аппаратно-программные средства защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав системы защиты информации и выполняющих такие (самостоятельно или в комплексе с другими средствами) функции защиты, как: идентификация и аутентификация пользователей, разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие информации, обеспечение отказоустойчивости компонент и системы в целом и т.д.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации специального ПО и аппаратных устройств для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы на всех этапах жизненного цикла защищаемой системы (создание охраняемого периметра, строительство помещений, проектирование системы в целом, монтаж и наладка оборудования, испытания и эксплуатация), а также кадровую политику и подбор персонала.

морально-этические средства защиты реализуются в виде норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в данной стране или обществе. Эти нормы, как правило, не являются обязательными, как законодательные меры, однако несоблюдение их ведет к потере авторитета и престижа организации.

законодательные – средства защиты определяются законодательными актами страны. В них регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

По сво­ему функ­ци­о­наль­но­му на­зна­че­нию ме­то­ды и сред­ст­ва ин­фор­ма­ци­он­ной бе­з­о­па­с­но­сти мо­ж­но раз­де­лить на следующие разновидности:

Методы и средства пре­ду­п­ре­ж­де­ния - пред­на­зна­че­ны для со­з­да­ния та­ких ус­ло­вий, при ко­то­рых воз­мо­ж­ность по­я­в­ле­ния и ре­а­ли­за­ции де­с­та­би­ли­зи­ру­ю­щих фа­к­то­ров (уг­роз) ис­к­лю­ча­ет­ся или сво­дит­ся к ми­ни­му­му;

Методы и средства об­на­ру­же­ния - пред­на­зна­че­ны для об­на­ру­же­ния по­я­вив­ших­ся уг­роз или воз­мо­ж­но­сти их по­я­в­ле­ния и сбо­ра до­по­л­ни­тель­ной ин­фор­ма­ции;

Методы и средства ней­т­ра­ли­за­ции - пред­на­зна­че­ны для ус­т­ра­не­ния по­я­вив­ших­ся уг­роз;

Методы и средства вос­ста­но­в­ле­ния - пред­на­зна­че­ны для вос­ста­но­в­ле­ния нор­маль­ной ра­бо­ты защищаемой системы (иногда и самой системы защиты).