что можно отнести к организационным мерам иб
Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Средства обеспечения информационной безопасности
Защита данных
на базе системы
Р азвитие информационных технологий и компьютеризация экономической отрасли стали неотъемлемой частью жизни современного общества. И поскольку информация является одним из наиболее ценных и важных ресурсов любого бизнеса, важнейшим аспектом в функционировании предприятия стало обеспечение информационной безопасности.
Понятие «информационная безопасность» включает комплекс мер, направленных на предупреждение и устранение несанкционированного доступа, обработки, искажения, форматирования, анализа, несогласованного обновления, корректирования и уничтожения данных. Проще говоря, это комплекс действий, стандартов и технологий, необходимых для защиты конфиденциальных данных.
Крупные корпорации и предприятия малого бизнеса, в силу необходимости сохранения важной и ценной деловой информации, нанимают в штат профессионалов в сфере защиты конфиденциальных данных. Их задачей является защита всех электронных устройств от хакерских атак, чаще всего направленных на кражу конфиденциальной информации или перехват управления IT-системой организации.
Госорганы, оборонный комплекс, бизнес-корпорации, финансовые структуры, медучреждения и представители малого бизнеса регулярно собирают большие объемы конфиденциальных данных о персонале, клиентах, конкурентах, продукции и финансовых оборотах. Утечка ценной информации к конкурентам или мошенникам сулит компании, ее руководству и клиентам значительные финансовые потери и бьет по престижу организации.
Создание надежной системы сохранения конфиденциальной информации – трудоемкий процесс, которому нужно уделять пристальное внимание. При этом важно владеть знаниями и оперировать методиками, обеспечивающими информационную безопасность.
Цель защиты информации – сохранить данные и целостность системы, минимизировать потери в случае искажения информационных сведений. Сотрудники отделов информационной безопасности компании с помощью специального ПО могут отследить любое действие в корпоративной системе – создание, изменение, удаление, копирование и распространение важных файлов.
Для правильного внедрения средств обеспечения защиты конфиденциальной информации компании требуется соблюдать три основных принципа:
Без соблюдения этих принципов защита информации невозможна.
Какими бывают средства информационной безопасности?
На практике обеспечение информационной безопасности фирмы осуществляется с помощью следующих средств:
Моральные средства защиты
Под моральными средствами подразумевают нормы поведения и правила работы с информационными активами, сложившиеся по мере распространения и внедрения электронной техники в различных отраслях государства и общества в целом. По факту это необязательные требования в отличие от законодательно утвержденных. Однако их нарушение приведет к потере репутации человека и организации.
К морально-этическим средствам защиты информации в первую очередь стоит отнести честность и порядочность сотрудников. В каждой организации есть свой свод правил и предписаний, направленный на создание здорового морального климата в коллективе. Механизмом обеспечения безопасности служит внутренний документ компании, учитывающий особенности деловых процессов и информационной структуры, а также устройство IT-системы.
Правовые средства защиты
Они основываются на действующих в Российской Федерации законах, решениях и нормативных актах, устанавливающих правила обработки персональных данных, гарантирующих права и обязанности участникам при работе с информационными ресурсами в период их обработки и использования, а также возлагающих ответственность за нарушение этих постановлений, тем самым устраняя угрозу несогласованного использования конфиденциальной информации. Такие правовые методики используются в качестве профилактических и предупреждающих действий. В основном это организованные пояснительные беседы с персоналом предприятия, пользующимся корпоративными электронными устройствами.
Организационные средства
Это часть администрирования организации. Они регулируют функционирование системы обработки информации, работу штата организации и процесс взаимодействия работников с системой так, чтобы в большей степени устранить или предупредить угрозу информационной атаки либо уменьшить потери в случае их возникновения. Основной целью организационных мер является формирование внутренней политики в области сохранения в секрете конфиденциальных данных, включающей использование необходимых ресурсов и контроль за ними.
Внедрение политики конфиденциальности включает реализацию средств контроля и технических устройств, а также подбор персонала службы внутренней безопасности. Возможны изменения в устройстве IT-системы, поэтому в реализации политики конфиденциальности должны участвовать системные администраторы и программисты. Персонал должен знать, почему проблемы сохранения коммерческой тайны столь важны. Все работники предприятия должны пройти обучение правилам работы с конфиденциальной информацией.
Физические средства защиты
Это различные типы механических и электронно-механических устройств для создания физических препятствий при попытках нарушителей воздействовать на компоненты автоматизированной системы защиты информации. Это также технические устройства охранной сигнализации, связи и внешнего наблюдения. Средства физической безопасности направлены на защиту от стихийных бедствий, пандемий, военных действий и других внезапных происшествий.
Аппаратные средства защиты
Это электронные устройства, интегрированные в блоки автоматизированной системы или спроектированных как независимые устройства, контактирующие с этими блоками. Их задачей является внутренняя защита структурных компонентов ИТ-систем – процессоров, терминалов обслуживания, второстепенных устройств. Реализуется это с помощью метода управления доступом к ресурсам (идентификация, аутентификация, проверка полномочий субъектов системы, регистрация).
Программные методы защиты
Обеспечение сетевой безопасности осуществляется за счет специальных программ, которые защищают информационные ресурсы от несанкционированных действий. Благодаря универсальности, простоте пользования, способности к модифицированию программные способы защиты конфиденциальных данных являются наиболее популярными. Но это делает их уязвимыми элементами информационной системы предприятия. Сегодня создано большое количество антивирусных программ, брандмауэров, средств защиты от атак.
Наиболее распространенные антивирусные ПО, брандмауэры и средства обнаружения атак на современном рынке представлены следующими продуктами:
Путем использования перечисленных категорий программ, подходящим к используемым на предприятии информационным системам, создается комплексное обеспечение сетевой безопасности.
Технические способы защиты информационных данных
Различные электронные устройства и специализированное оборудование, входящие в единый автоматизированный комплекс организации и выполняющие, как самостоятельные, так и комплексные функции сохранения персональных данных. К ним относятся персонализация, авторизация, верификация, ограничение доступа к активам пользователей, шифрование.
Криптографические методы защиты информации
Этот метод основывается на способах кодировки и обеспечивает защиту конфиденциальной информации как с помощью программного обеспечения, так и аппаратными средствами защиты информации. Криптографический способ обеспечивает высокую степень эффективности СИЗ. Ее можно выразить в цифровом эквиваленте: среднее количество операций и время для разгадки ключей и расшифровки данных. Для защиты текстов при передаче используются аппаратные методы кодировки, для обмена информацией между ПК локальной сети используются также программные методики. При сохранении информации на магнитных носителях используются программные методы шифровки. Однако у них есть некоторые недостатки: затраты времени и мощности процессоров для шифрования информации, трудности с расшифровкой, высокие требования к обеспечению секретности ключей (угроза открытых ключей от подмены).
Информация – это важнейшая часть современной действительности. Именно сейчас цифровые данные подвергаются растущему количеству угроз и нежелательных вторжений. DDoS-атаки, сетевой перехват данных, действие вирусного программного обеспечения и другие киберпреступления становятся более изощренными и набирают обороты.
Поэтому следует как можно быстрее реализовать систему защиты информации, которая надежно защитит конфиденциальную корпоративную информацию. Вопрос безопасности информации полностью лежит на плечах руководства организацией. При выборе соответствующих средств для защиты информации следует принять во внимание область деятельности компании, ее размеры, техническое оснащение, а также компетенции персонала в сфере соблюдения режима конфиденциальности.
Термины МЧС России
совокупность приёмов, мероприятий и операций, применяемых в информационных технических средствах и системах информатизации; к организационно-техническим методам обеспечения информационной безопасности (ИБ) относят следующие действия: создание и совершенствование системы информационной безопасности; усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств защиты информации (ЗИ) и методов контроля эффективности этих средств, развитие защищённых телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств ЗИ при её хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по ЗИ; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств ЗИ; совершенствование системы серти-фикации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищённых информационных системах, подготовка кадров в области обеспечения ИБ; формирование системы мониторинга показателей и характеристик ИБ в наиболее важных сферах жизни и деятельности общества и государства.
109012, г. Москва,
Театральный пр., 3
Организация защиты конфиденциальной информации
Защита данных
на базе системы
З ащите важной информации, не подлежащей разглашению, приходится уделять большое внимание как частным лицам, так и многим фирмам. Утечка секретных сведений оборачивается потерей клиентов и снижением доходов. Злоумышленники могут овладеть ценной информацией, нанести урон репутации граждан, получить доступ к банковским счетам, частным и государственным секретным документам. Для защиты конфиденциальной информации, предотвращения ее использования в незаконных или преступных целях используют технические средства.
Информационная безопасность и ее особенности
Конфиденциальной информацией считаются персональные данные граждан, секреты коммерческой деятельности фирм, служебные и государственные тайны, материалы судопроизводства.
Охрана конфиденциальной информации подразумевает проведение мероприятий по физической и технической защите секретных материалов. Безопасность достигается путем ограничения доступа к секретным данным, сохранения их достоверности и целостности в процессе работы с уязвимой информацией.
Существует несколько возможных каналов утечки ценной информации. Прямые каналы утечки информации – это непосредственное копирование важных документов или нарушение коммерческой тайны.
К косвенным относят:
Виновниками разглашения персональной информации зачастую становятся социальные сети. Нередко в Интернет попадают материалы с информацией о личной жизни, семейных тайнах граждан. Мошенники могут получить доступ к электронным кошелькам. Чтобы защищиться, приходится использовать сложные пароли и принимать другие меры безопасности.
Существуют различные приемы похищения информации: акустические (подслушивание), оптические (видеосъемка). Для перехвата данных могут быть использованы электромагнитные, электронные и другие устройства.
Для компаний, нуждающихся в защите ценной информации, разработаны специальные системы защиты информации класса DLP (Data Loss Prevention). С их помощью можно узнать, кто работал с секретной информацией и куда ее передал. Оценивается степень защищенности информации и риск утечки.
Как обеспечивается безопасность
Для сохранения конфиденциальных сведений от разглашения используются следующие приемы:
1. Сертификация данных. При разработке мер по защите информации учитывают требования нормативных документов. В них регламентируются средства, обеспечивающие конфиденциальность данных. Сертификация – это проверка соответствия защитных мер установленным нормам работы с секретной информацией.
2. Лицензирование – выдача разрешения на определенный вид деятельности или использование изобретения. Если дело касается информации, не подлежащей разглашению, осуществляется контроль за соблюдением условий и требований конфиденциальности, оговоренных в лицензии.
3. Категорирование – разделение объектов на категории секретности и с учетом опасности утечки данных при работе с секретной информацией.
4. Аттестация – проверка помещений, в которых хранятся конфиденциальные материалы, на соответствие требованиям безопасности и наличие необходимых технических средств.
Руководители компаний, владеющих секретной информацией, должны иметь перечень сведений, не подлежащих разглашению, а также поименный список лиц, имеющих допуск к таким материалам. При приеме на работу новых сотрудников предупреждают о недопустимости разглашения служебной информации и о грозящей ответственности.
Если дело не касается государственных тайн, руководители предприятий сами устанавливают степень конфиденциальности информации, а также выбирают методики и средства ее защиты. При этом руководство берет на себя ответственность за неправильное обращение с ценной информацией и определяет возможные последствия. Все мероприятия по информационной защите осуществляются в соответствии с федеральным законом и указами президента Российской Федерации.
Элементы информационной безопасности
Для эффективной защиты информации проводится комплекс правовых, организационных, программно-аппаратных, инженерно-технических и криптографических мероприятий.
Правовые действия
Контролируется соблюдение юридических норм информационной безопасности, устанавливаются правовые отношения между фирмой, владеющей ценной информацией, и государством. С помощью служебных проверок выявляются факты разглашения информации персоналом.
Проверяется наличие документов, касающихся заключения трудовых соглашений, контрактов, инструкций по работе с секретной информацией.
Проводится работа с персоналом по поводу ответственности за несанкционированное уничтожение документов с важной информацией, передачу ложных сведений, разглашение служебных тайн.
Новым сотрудникам разъясняют особенности информационной безопасности и требования конфиденциальности. При подписании контракта берется письменное согласие на соблюдение ограничений и правил обращения со служебной информацией.
Организационные меры
Включают действия, направленные на обеспечение безопасного режима работы фирмы, пользующейся секретной информацией:
Инженерно-технические мероприятия
Охрана конфиденциальной информации осуществляется с помощью дорогостоящих технических средств и специальной аппаратуры. Это позволяет предотвратить незаконное похищение и рассекречивание сведений злоумышленниками. Организации, владеющие важной информацией, оснащаются приборами слежения и прослушивания.
К инженерно-техническим мерам безопасности относятся:
Криптографические приемы
Производится разработка секретных кодов и паролей доступа в информационную систему предприятий, имеющих дело с особо ценной информацией. При передаче сведений используется специальный криптографический ключ. Он представляет собой последовательность символов, которые используются для шифрования и расшифровки цифровых подписей, тайных сообщений и кодов.
Для сохранения в тайне конфиденциальной информации, передаваемой открытым способом (по почте, факсу, незащищенным интернет-каналам) вырабатываются условия взаимного доверия.
Пример
Лицо А по интернет-переписке общается с лицом Б. При этом Б должен быть уверен, что сообщения с интересующей его информацией приходят именно от А. Они договариваются о секретном пароле – слове, которое должно содержаться в тексте сообщения. Посторонний человек не знает о договоренности, поэтому его сообщениям Б не доверяет.
При обмене служебной информацией пароль для входа в информационную систему передается с помощью специальных криптографических методов и программ. Такая методика может быть использована также при сообщении сведений по телефону или радио.
К криптографическим мерам обеспечения информационной безопасности относятся также:
Выбор методик
Объем мер, предпринимаемых для сохранности конфиденциальной информации, зависит от особенностей работы организации, размеров бизнеса, степени важности и секретности сведений, которыми она владеет.
В небольшой фирме для предотвращения утечки конфиденциальных сведений достаточно установить порядок их обработки и хранения, а также ограничить доступ персонала к охраняемой информации. Необходимо правильно организовать работу с персоналом, проводить инструктаж по обращению с важной информацией. Важно анализировать и контролировать организационные действия, направленные на предотвращение утечки конфиденциальных сведений.
В крупных организациях используется комплексная многоуровневая система засекречивания материалов. Используемые методы и средства периодически обновляют, чтобы их не смогли распознать злоумышленники.
В список сотрудников, имеющих доступ к засекреченным материалам, не включаются лица-разработчики системы безопасности и соответствующих компьютерных программ.
Для передачи секретной коммерческой информации через Интернет используются защищенные каналы связи. Данные передаются в зашифрованном или замаскированном виде.
Порядок обеспечения информационной безопасности
При осуществлении защиты засекреченной информации соблюдается следующий порядок действий:
Повышение информационной безопасности требует проведения комплексных мероприятий с использованием сложных технических устройств. Необходимо правильно оценивать степень риска утечки информации и принимать адекватные меры, чтобы не допустить похищения сведений, которые могут быть использованы в незаконных и преступных целях. Важно постоянно анализировать эффективность информационной защиты и совершенствовать методику ее проведения.
Способы защиты информации
ИБ-аутсорсинг
на базе DLP-системы
Д анные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.
Способы неправомерного доступа к информации
Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.
Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.
Методы защиты
На практике используют несколько групп методов защиты, в том числе:
Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.
Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.
Организационные средства защиты информации
Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.
Чаще всего специалисты по безопасности:
Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.
Что такое ИБ-аутсорсинг и как он работает? Читать.
Технические средства защиты информации
Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:
В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.
Аутентификация и идентификация
Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.
Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.