Что представляет собой защита информации
Перейти к содержимому

Что представляет собой защита информации

  • автор:

Что представляет собой защита информации

Статья 16. Защита информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации;

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

С чего начать обеспечение информационной безопасности? Ключевые угрозы и средства защиты

Системы безопасности

Наверняка многие мои коллеги, работающие в сфере информационной безопасности, попадали в ситуацию, когда, приходя на новое место работы, понимали, что с точки зрения технологий и бизнеса компания работает вполне успешно, но информационной безопасности никогда не уделялось должного внимания, и сейчас необходимо начать ее грамотное внедрение “без остановки рабочей машины”, то есть на ходу, без прерывания бизнес-процессов, обеспечивающих основной доход. Так часто происходит, потому что руководство не всегда осознает, что безопасность критичных процессов необходимо внедрять еще на этапе их разработки, а не тогда, когда “стало понятно, что нужно это защищать”. Этот подход будет проблемнее и затратнее, но, пока на горизонте не видно прибыли или существенных рисков ее потери, об информационной безопасности никто не задумывается. В статье я поделюсь опытом обеспечения ИБ компании в подобной ситуации

Первое, что необходимо сделать, — определить направление, в котором будет двигаться ваша защита относительно конкретной организации. Оно зависит от того, чем занимается компания, каковы ее основные информационные активы, критически важные процессы и т.д. Исходя из основных аспектов работы, вы уже должны понимать, на какой из уровней будущей защиты будете делать основной упор. Рекомендую также выстроить грамотные отношения с коллегами из департамента информационных технологий, так как именно они способны помочь вам ознакомиться со всеми бизнес-процессами и информацией, которую будет необходимо защищать.

Основная и главная задача любого отдела информационной безопасности в том, чтобы находить и устранять новые уязвимости в системах и процессах компании до того, как они перерастут в полноценные угрозы с немалой степенью риска их реализации. Я предлагаю всегда разделять угрозы на внутренние и внешние.

Внутренние угрозы

Подавляющее большинство угроз — внутренние. Они возникают из-за отсутствия понимания коллег, имеющих доступ к защищаемой информации, того, в каких случаях ошибка в действиях может повлечь за собой серьезную угрозу. Поэтому в первую очередь я рекомендую позаботиться о внутренних угрозах, если нет возможности разделить обязанности с коллегами на параллельно выполняющиеся, но это уже кадровый вопрос для вашего отдела информационной безопасности.

Инфологическая модель

Чтобы иметь полное и наглядное представление о том, как основные процессы и отделы в организации функционируют между собой, стоит разработать инфологическую модель компании (или несколько для каждого сложного процесса или отдела). Благодаря этому у вас должно сложиться представление, как движется информация в компании, какие системы используются для ее обработки, где она хранится, а также как она попадает в компанию и куда передается вовне. Если добавить к инфологической модели грамотную оценку критичности информационных активов, то вам станет ясно, какие области и процессы являются наиболее критичными. С них и стоит начать поиск уязвимостей.

рис. 1. Инфологическая модель

Нормативные документы информационной безопасности

Нормативные документы информационной безопасности помогут проинформировать ваших коллег об определенных рисках и правилах во время выполнения своих служебных обязанностей. Я бы рекомендовал взять за основу следующий комплекс документов:

  • политика информационной безопасности;
  • парольная политика;
  • политика обработки персональных данных;
  • инструкции для пользователей и администраторов ИС;
  • инструктаж по информационной безопасности;
  • периодические рассылки для сотрудников.

Само собой, этот перечень документов не является исчерпывающим, но если у вас в компании их нет, значит, нормативная база со стороны информационной безопасности проработана не лучшим образом.

Доступ к ресурсам

Хотелось бы заострить внимание на процессе предоставления доступа к различным ресурсам и автоматизированным информационным системам компании. Данный процесс поможет обеспечить грамотное распределение ролей сотрудников и снизит определенные риски наступления инцидентов, связанных с действиями по неосторожности или же незнанием правил работы той или иной системы. Для правильного функционирования этого процесса необходимо подготовить понятный для сотрудников компании регламент.

Режим коммерческой тайны

Установка режима коммерческой тайны в организации — важная часть обеспечения приемлемого уровня защищенности инфраструктуры. В различных рабочих ситуациях, а также и при наступлении инцидентов правового характера наличие режима коммерческой тайны сыграет большую роль в принятии решения об исходе инцидента.

Внешние угрозы

Под внешними угрозами, как правило, понимаются те случаи, когда реализация уязвимости в системе приходит из внешних пределов защищаемого контура. Чтобы таких угроз стало значительно меньше, по крайней мере на сетевом уровне, используются различного рода программные и аппаратные средства.

Как правило, уязвимости для защиты от внешних угроз находятся в ресурсах компании, которые открыты для публичного просмотра. Например, это может быть сайт компании, мобильное приложение или лендинговая страница, в которой клиент может оставить свои контакты. Эти уязвимости формируются на этапе разработки, а также при введении в работу и обновлении данных ресурсов.

Безопасная разработка

Если ваша компания использует такие публичные страницы, как свой основной “магазин”, и содержит свой штат разработчиков, которые постоянно выпускают новые программные релизы, стоит подумать о внедрении процесса безопасной разработки. Он предполагает наличие в штате тестировщиков на проникновение (пентест), которые постоянно ищут новые уязвимости на публичных ресурсах компании, а также проверяют и тестируют предрелизные версии продукта на проникновение. Так вы можете обеспечивать безопасность вашего основного онлайн-ресурса еще на этапе разработки, снижая риски наличия критичных уязвимостей при его обновлении на новую версию.

Что касается основных технических средств для обеспечения должного уровня информационной безопасности, вам необходимо определить самостоятельно их набор, так как он зависит непосредственно от организации и направления, которое вы выбрали после изучения ее основных процессов и активов. Но я предлагаю рассмотреть самые основные и часто встречаемые и них:

  1. Антивирус. Безусловно, важная часть в любой инфраструктуре, без которой наверняка не обходится ни одна организация. Но, что более важно, следует грамотно настроить политику работы антивируса, а также систему оповещений, чтобы всегда быть в курсе вероятных угроз.
  2. Средства контроля доступа к ресурсам. Сотрудники компании должны иметь доступ только к тем ресурсам, которые необходимы им для выполнения своих служебных обязанностей. В противном случае мы имеем повышенный риск вероятной ошибки в малознакомой системе либо же намеренной утечки информации.
  3. Файрвол. Также незаменимый инструмент защиты от внешних угроз. Стоит отметить настройки и проанализировать его работу на предмет наличия уязвимостей.
  4. Анти-DDoS. Решение необходимо, так как практически все компании так или иначе размещают свои данные на сайтах, приложениях и т.д.
  5. Файрвол веб-приложений (WAF). Необходим для компаний, активно продвигающих свои услуги через онлайн-сервисы. Позволяет закрыть большую часть внешних уязвимостей и существенно снизить риски взлома и повысить отказоустойчивость сервиса. Рекомендуется, если у компании нет своего штата разработчиков или ресурсов для введения процесса безопасной разработки, о котором я упоминал выше.
  6. Система контроля действий сотрудников (DLP). Система внутреннего контроля за действиями сотрудников компании на автоматизированных рабочих местах. Повышает вероятность предотвращения ошибок/нарушений пользователей, администраторов, руководителей во время работы. Главный инструмент расследований внутренних инцидентов в области информационной безопасности.

УЗНАЙТЕ О ВОЗМОЖНОСТЯХ ЛИДОГЕНЕРАЦИИ И ПРОДВИЖЕНИИ ЧЕРЕЗ КОНТЕНТ

5 советов из практики

В заключение хотелось бы дать несколько советов всем работникам сферы информационной безопасности относительно поведения с коллегами во время выполнения ваших рабочих обязанностей.

Что такое информационная безопасность и какие данные она охраняет

Если компания хранит бухгалтерскую информацию, клиентскую базу, анкеты сотрудников или корпоративные тайны, то важно, чтобы эти данные не попали не в те руки, то есть были защищены. Защитой данных занимается информационная безопасность. Разобрались, что это и какие именно данные она защищает.

Что такое информационная безопасность

Информационная безопасность — это различные меры по защите информации от посторонних лиц. В доцифровую эпоху для защиты информации люди запирали важные документы в сейфы, нанимали охранников и шифровали свои сообщения на бумаге.

Сейчас чаще защищают не бумажную, а цифровую информацию, но меры, по сути, остались теми же: специалисты по информационной безопасности создают защищенные пространства (виртуальные «сейфы»), устанавливают защитное ПО вроде антивирусов («нанимают охранников») и используют криптографические методы для шифрования цифровой информации.

За что отвечает информационная безопасность

Она отвечает за три вещи: конфиденциальность, целостность и доступность информации. В концепции информационной безопасности их называют принципами информационной безопасности.

Конфиденциальность означает, что доступ к информации есть только у того, кто имеет на это право. Например, ваш пароль от электронной почты знаете только вы, и только вы можете читать свои письма. Если кто-то узнает пароль или другим способом получит доступ в почтовый ящик, конфиденциальность будет нарушена.

Целостность означает, что информация сохраняется в полном объеме и не изменяется без ведома владельца. Например, на вашей электронной почте хранятся письма. Если злоумышленник удалит некоторые или изменит текст отдельных писем, то это нарушит целостность.

Доступность означает, что тот, кто имеет право на доступ к информации, может ее получить. Например, вы в любой момент можете войти в свою электронную почту. Если хакеры атакуют серверы, почта будет недоступна, это нарушит доступность.

Какая бывает информация и как ее защищают

Информация бывает общедоступная и конфиденциальная. К общедоступной имеет доступ любой человек, к конфиденциальной — только отдельные лица.

Может показаться, что защищать общедоступную информацию не надо. Но на общедоступную информацию не распространяется только принцип конфиденциальности — она должна оставаться целостностной и доступной. Поэтому информационная безопасность занимается и общедоступной информацией.

Главная задача информационной безопасности в IT и не только — защита конфиденциальной информации. Если доступ к ней получит посторонний, это приведет к неприятным последствиям: краже денег, потере прибыли компании, нарушению конституционных прав человека и другим неприятностям.

Защита конфиденциальных данных — главная задача специалистов по информационной безопасности. Сама конфиденциальная информация бывает разной. Например, у оборонной компании это стратегическое расположение средств ПВО. А у ресторана — рецепт секретного соуса.

Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»

Баранников Андрей, руководитель отдела ИБ ИТ-компании «Рексофт»

Если с общедоступной информацией все понятно, то о конфиденциальной информации стоит поговорить отдельно, так как у нее есть несколько разновидностей.

Основные виды конфиденциальной информации

Персональные данные. Информация о конкретном человеке: ФИО, паспортные данные, номер телефона, физиологические особенности, семейное положение и другие данные. В России действует 152-ФЗ — закон, который обязывает охранять эту информацию. Мы подробно рассказывали об этом в статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать».

Тот, кто работает с персональными данными, обязан защищать их и не передавать третьим лицам. Информация о клиентах и сотрудниках относится как раз к персональным данным.

Коммерческая тайна. Внутренняя информация о работе компании: технологиях, методах управления, клиентской базе. Если эти данные станут известны посторонним, компания может потерять прибыль.

Компания сама решает, что считать коммерческой тайной, а что выставлять на всеобщее обозрение. При этом не вся информация может быть коммерческой тайной — например, нельзя скрывать имена учредителей юрлица, условия труда или факты нарушения законов. Подробнее о коммерческой тайне рассказывает закон 98-ФЗ.

Профессиональная тайна. Сюда относятся врачебная, нотариальная, адвокатская и другие виды тайны, относящиеся к профессиональной деятельности. С ней связано сразу несколько законов.

Служебная тайна. Информация, которая известна отдельным службам, например, налоговой или ЗАГСу. Эти данные обычно хранят государственные органы, они отвечают за их защиту и предоставляют только по запросу.

Государственная тайна. Сюда относят военные сведения, данные разведки, информацию о состоянии экономики, науки и техники государства, его внешней политики. Эти данные самые конфиденциальные — к безопасности информационных систем, в которых хранится такая информация, предъявляют самые строгие требования.

Защита информации

Одна из важнейших задач любой компании состоит в обеспечении защиты информации, которая является одним из ценнейших ее ресурсов.

Защита информации предполагает обеспечение ее безопасности от случайного или преднамеренного ее искажения или удаления.

К источникам угроз конфиденциальности информации относятся антропогенные, техногенные и стихийные источники.

Система защиты информации – комплекс организационно-технологических мер, программно-технических средств и правовых норм, которые направлены на обеспечение конфиденциальности информации.

Статья: Защита информации

  • защиту от несанкционированного доступа;
  • защиту в компьютерных сетях;
  • криптографическую защиту информации;
  • электронную цифровую подпись;
  • защиту информации от компьютерных вирусов.

Защита информации от несанкционированного доступа

Для получения доступа к информационным ресурсам предусматривается выполнение процедур идентификации, аутентификации и авторизации.

Идентификация – присвоение объекту или субъекту уникального имени и кода (идентификатора).

Аутентификация – процедура установления подлинности объекта или субъекта, который представил идентификатор или проверки того, что он действительно является тем, за кого себя выдает. Самый распространенный способ аутентификации – присвоение пароля.

Авторизация – процедура проверки полномочий или прав объекта на доступ к определенным ресурсам и возможность выполнения определенных операций с ними. Авторизация выполняется для разграничения прав доступа к информационным ресурсам сети или компьютера.

Защита информации в компьютерных сетях

Локальные сети организаций зачастую подключены к глобальной сети Интернет. Защита локальных сетей предприятий обеспечивается межсетевыми экранами – брандмауэрами (firewalls).

Межсетевой экран разграничивает доступ, при этом разделяя сеть на две части (локальная сеть и Интернет), и формирует набор правил, которые определяют условия попадания пакетов из одной части в другую. Экраны реализуются аппаратными или программными средствами.

Криптографическая защита информации

Чтобы обеспечить секретность информации используют ее шифрование или криптографию.

Шифрование выполняется по определенному алгоритму или с помощью устройства, реализующего выбранный алгоритм. Расшифровать полученную информацию можно лишь с помощью определенного ключа.

Криптография является эффективным методом, повышающим безопасность передачи данных через компьютерные сети и в процессе обмена информацией между компьютерами.

Электронная цифровая подпись (ЭЦП)

Электронная подпись используется с целью исключить возможность изменения исходного сообщения или замены этого сообщения иным.

ЭЦП представляет собой последовательность символов, которую получают при криптографическом преобразовании исходного сообщения с применением закрытого ключа и позволяет определить целостность сообщения и принадлежность его определенному автору с помощью открытого ключа.

Защита информации от компьютерных вирусов

Компьютерные вирусы представляют собой небольшие вредоносные программы, способные самостоятельно создавать свои копии, присоединять их к файлам программ, документам, загрузочным секторам носителей данных и распространять по каналам связи.

Основные типы вредоносных программ по среде обитания делятся на:

  • программные (поражают исполняемые файлы программ);
  • загрузочные;
  • сетевые; .

Наиболее распространенными источниками вредоносных программ являются съемные носители и компьютерные сети.

Для защиты от компьютерных вирусов применяются антивирусные программы, представленные на современном рынке огромным разнообразием.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *