Информационная безопасность для чего нужна кратко
Информационная безопасность человека: что такое, правила, безопасность
Содержание:
Понятие информационной безопасности все плотнее и плотнее входит в нашу жизнь. Чем больше в человеческую деятельность внедряется интернет, тем плотнее в нее входит и информационная безопасность.
Информация — это один из ключевых ресурсов в человеческом быту. Фраза «кто владеет информацией, тот владеет миром» в наше время как нельзя актуальна и очень четко отражает нашу действительность. Хотим мы того или нет, но о каждом современном пользователе интернета постоянно собирается информация, создавая «цифровой образ» людей, куда входят многие параметры, например: пол, возраст, устройства для входа в сеть, примерный заработок, поисковые запросы, ближайшие родственники, интересы, любимые сайты и мн. др. И это что касается отдельно взятого рядового пользователя сети, который работает себе на заводе и считает, что он не интересен этому миру.
Но с бизнесом точно такая же ситуация, там ценность информации еще больше. Поэтому современная бизнес-информация становится объектом манипуляции, кражи, купли-продажи и т. д. Для крупных компаний информационная безопасность стоит на первом месте. Ведь чем популярнее, известнее и богаче становится человек или компания, тем больше интереса к ним проявляют злоумышленники, которые хотят навредить или заработать.
Информационная безопасность — это основа современного интернета
Информационная безопасность человека
Все мы знаем, что сейчас доступ к любой информации очень сильно упростился, если сравнивать, например, с интернетом 20–25-летней давности, когда скорость интернета измерялась в количестве загруженных картинок. Например, фраза «две девки в час» означала скорость интернета, при которой загружались две картинки в часть из категории «+18».
С приходом доступности интернета к нам в жизнь пришли такие понятия как:
Список можно продолжать очень долго и, скорее всего, каждый пользователь интернета с чем-то подобным уже сталкивался. Интернет разрастается и каждый день появляются новые веб-сайты и приложения, с которыми человеку приходится контактировать. Но в то же время каждый день появляются новые средства обмана и кражи информации у простых людей — от них приходится защищаться самостоятельно.
Новые технологии и устройства, плюс новые угрозы — это современный цифровой мир, с которым сталкивается каждый человек каждый день. Но как правильно обезопасить себя?
Для начала нужно понять, что информационная безопасность человека — это комплекс мер, которые защищают самые важные жизненные аспекты людей: физические, психологические, репродуктивные, интеллектуальные и т. д. То есть понятие информационной безопасности несет в себе не только безопасность конфиденциальных данных, но и защиту человека от воздействия или доступа к зловредной информации.
Мы не пытаемся вас запугать, но посягательства на вашу личную информацию можно ждать от кого угодно:
В общем, ожидать угрозы можно откуда угодно, а обезопасить себя можно, если стараться аккуратнее и осторожнее пользоваться интернетом.
Ваша личная информационная безопасность — это не навязчивая идея, которая доведет вас до психоза, это всего лишь комплекс мер, который защитит вас как личность от сторонних лиц.
Информационная безопасность: меры предосторожности
Во-первых, нужно уяснить одно-единственное правило: все, что вы выкладываете в открытый доступ, то есть в интернет, оттуда никогда не исчезнет, а значит эту информацию можно заполучить каким-либо способом. То есть, если вы выложили какое-то фото в ВК и на следующий день его удалили, то оно исчезнет только с вашей страницы в ВК, но не из интернета, потому что оно сохраняется еще в нескольких местах, куда вам доступ ограничен. И это касается всего контента и всех соцсетей, даже комментариев под фото ваших друзей, даже моменты, когда вы просто задерживаете взгляд на какой-либо фотографии, тоже фиксируются. Теперь понимаете, насколько важна осторожность в сети.
Как попытаться обезопасить себя:
Не скачивайте сомнительные программы с непонятных источников — они могут содержать вирус, который поможет злоумышленнику заполучить ваши данные. Не отвечайте на троллинг и спам. Обязательно следите за своими действиями в интернете.
Заключение
Разгром всей статьи. Чтобы вы не предприняли прямо сейчас для своей конфиденциальности и безопасности в сети — все зря. О вас уже собрано достаточно информации, чтобы вас скомпрометировать. Все меры по безопасности помогут вам защититься от «мелких» злоумышленников, а более крупные и профессиональные, которые обладают мощными ресурсами, смогут «нарыть» о вас информацию в любом случае.
В современном мире информация о людях начинает собираться задолго до их рождения. Как только будущая мама опубликовала в сети статус «Я беременна» или фотографию о своей беременности, то о будущем человеке начинает собираться информация.
Теперь вы понимаете, что информационная безопасность — это очень важное действие, которое начинается с каждого осознанного пользователя интернета.
Почему важна информационная безопасность организации и методы ее обеспечения
Информационная безопасность компании, общественной организации или производственного предприятия – это комплекс мероприятий, направленных на предотвращение несанкционированного доступа к внутренней IT-инфраструктуре, незаконного завладения конфиденциальной информацией и внесения изменений в базы данных. Википедия включает в это понятие любые формы данных, независимо от их материального представления. То есть, в информационную безопасность входит защита от злоумышленников данных в электронной форме и на физических носителях.
Учитывая важность информации в современном мире, защите от утечек конфиденциальной информации в адрес конкурентов необходимо уделять повышенное внимание. Возможный ущерб может быть намного большим, чем стоимость всех материальных активов предприятия.
Что такое информационная безопасность организации
Безопасность информационной инфраструктуры компании подразумевает защиту от случайных или умышленных действий, которые могут нанести вред владельцам данных или их пользователям. Действия лиц, несущих ответственность за эту сферу, должны быть направлены на создание защиты, препятствующей утечкам данных, а не борьбу с их последствиями. Но при этом важно сохранять простой доступ к информации тем людям, которые на законных основаниях пользуются базами данных.
Ущерб, причиняемый утечкой информации, невозможно спрогнозировать заранее. Он может выражаться в незначительной сумме, но в некоторых случаях приводит к полной неспособности компании заниматься хозяйственной деятельностью.
Проблема сохранности конфиденциальной информации и коммерческой тайны существовала и ранее. Но по мере развития электронных средств обработки и хранения данных повышается вероятность их утечки и незаконного копирования. Если ранее для кражи чертежей нового продукта нужно было физически вынести их с завода, сейчас достаточно получить доступ к серверу через электронные каналы связи или записать их на миниатюрную карту памяти.
В большинстве случаев краже подлежат следующие данные:
- Информация о реальном финансовом состоянии компании; Инновационные разработки научно-технических отделов; Регистрационные данные для доступа к защищенным серверам; Персональные данные работников.
Дополнительной сложностью является то, что кража информации может негативно отразиться на компании не сразу после ее совершения, а по прошествии определенного времени. Неважные на первый взгляд данные при их обнародовании могут нанести репутационный вред компании и уменьшить ее рыночную стоимость.
Поэтому при разработке мер по обеспечению информационной безопасности нельзя делить данные на виды. Все, что размещено в IT-инфраструктуре компании и храниться в архивах, не должно выходить за ее пределы.
Сотрудники компании – угроза информационной безопасности
Источником утечки данных с компьютеров компании могут быть легальные пользователи. Они имеют доступ к информации и используют ее не так, как это предусмотрено протоколами безопасности.
Всех легальных пользователей можно разделить на несколько групп:
- Мелкие нарушители. В этой категории находятся работники среднего звена и руководители подразделений, которые позволяют себе отступления от требований информационной безопасности. Они могут запускать сторонние приложения на компьютерах, посещать не связанные с работой сайты, обмениваться личной информацией по каналам связи. Часто такие действия приводят к проникновению вирусов и вредоносных программ, хотя прямого умысла у пользователей на эти действия нет. Рецидивисты. В эту категорию входят руководители среднего и высшего звена, которые имеют доступ к важной коммерческой информации. Они злоупотребляют своими правами доступа и могут умышленно отсылать засекреченные данные другим адресатам за вознаграждение или по другим причинам. Шпионы. Это сотрудники, которые специально нанимаются на работу в компанию с целью кражи информации за плату со стороны конкурента. Чаще всего в роли шпионов выступают опытные компьютерные специалисты, способные преодолеть некоторые ступени защиты данных. Кроме того, они могут ликвидировать следы несанкционированного доступа, что затрудняет раскрытие подобных утечек. Обиженные. В эту категорию относят работников, которые были уволены по инициативе работодателя и при уходе с работы успели унести важную и/или конфиденциальную информацию. Позже они распространяют ее за плату или безвозмездно в отместку за нанесенную обиду.
Удаленный контроль действий сотрудников
Предотвратить утечку информации по причине неосторожных или умышленных действий сотрудников можно с помощью специальной утилиты – Bitcop
Автоматизированная система контроля компьютеров и учета сотрудников отслеживает действия пользователей в корпоративной сети и предоставляет отчеты руководителю подразделения. Она повышает эффективность работы персонала и обеспечивает информационную безопасность.
Виды угроз информационной безопасности предприятия
Существует несколько причин, по которым становится возможным незаконный доступ до конфиденциальной информации злоумышленниками. Среди них особенно опасными являются следующие:
Халатное отношение сотрудников компании к защите цифровых данных.
Виновными могут оказаться не преступники, которые хотят украсть информацию, а рядовые сотрудники. Они совершают эти действия из-за недостатка зданий или невнимательности.
Основные причины нарушения безопасности со стороны сотрудников:
- Переход по фишинговой ссылке с рабочего компьютера и заражение вредоносной программой корпоративной сети; Хранение конфиденциальных данных на сменных носителях информации; Пересылка информации с секретными данными по обычной электронной почте или через незащищенный мессенджер.
Использование нелицензионных программ
Коммерческие компании часто экономят средства на приобретении ПО и позволяют сотрудникам пользоваться пиратскими версиями офисных приложений и профессиональных программ. Однако при этом возникает опасность внедрения в сеть вирусов и других вредоносных программ.
Кроме того, использование пиратского ПО влечет за собой дополнительные минусы:
- Отсутствие периодических обновлений, которые «латают дыры» в системе защиты; Отсутствие технической поддержки со стороны разработчиков; Невозможность проверки подлинности кода приложения.
Умышленные DDoS атаки на сервера компаний
Distributed-Denial-of-Service подразумевает отправку очень большого количества сетевых запросов от пользователей в сети, зараженных специальной программой. Из-за этого ресурс, на который направлена атака, блокируется по причине перегрузки канала связи. Длительная неработоспособность сервера негативно отражается на лояльности пользователей.
Часто к такому приему прибегают конкуренты потерпевшего, DDoS-атака применяется как средство шантажа и отвлечения специалистов по сетевой безопасности от реальных проблем. Например, отвлечение внимания на такую атаку может служить прикрытием для кражи денежных средств или платежной информации с сервера.
Работа вредоносных программ
Компьютерные вирусы – распространенная угроза безопасности IT-инфраструктуры компании. Ущерб, нанесенный вредоносными программами, исчисляется миллионами долларов. В последние 3-5 лет наблюдается увеличения числа вредоносных программ и атак с их стороны, а также сумм понесенных компаниями потерь.
Дополнительная опасность в том, что помимо компьютеров пользователей и серверов, сейчас заражению подвергаются и другие элементы сетевой инфраструктуры:
Несмотря на меры по защите внутренних сетей от воздействия вирусов, их разработчики придумывают новые пути загрузки кода на компьютеры пользователей. Например, вложения в электронную почту, внедрение в текстовые файлы, пересылка через интернет-мессенджеры.
- Коммутаторы и маршрутизаторы; Мобильные устройства для доступа в сеть – компьютеры, планшеты; Элементы «умного дома».
Наибольший ущерб причиняют вирусы, которые шифруют данные на компьютере пользователя и требуют от него денежного перевода за расшифровку. Примерами таких вредоносных утилит являются WannaCry, Petya.
Действия правоохранительных органов
В ходе расследования уголовных дел и при проведении некоторых видов проверок представители контролирующих и правоохранительных органов могут изымать компьютерную технику и документы, в том числе с конфиденциальной информацией.
Это приводит сразу к двум негативным последствиям:
- Из-за изъятия компьютеров и серверного оборудования деятельность компании может полностью прекратиться; Информация с изъятых носителей и документов может распространиться далее, несмотря на ответственность работников следствия.
Законодательством нашей страны не предусмотрен механизм компенсации нанесенного ущерба и упущенной выгоды компаниям, даже если проведенная проверка или расследование уголовного дела не привели к применению санкций или вынесению обвинительного приговора.
Дополнительный минус этого в том, что решение об изъятии могут принимать должностные лица государственного органа, что делает практически невозможным своевременную защиту интересов компании в сфере информационной безопасности.
Принципы формирования системы информационной безопасности
Для максимально эффективной защиты важных для бизнеса данных информационная безопасность компании должна строиться на 5 важных принципах:
- Комплексность. При разработке мероприятий по защите необходимо предусматривать все возможные пути проникновения и нанесения ущерба, в том числе удаленные и внутренние каналы. Выбор средств защиты должен соответствовать потенциальным угрозам, все они должны работать комплексно, частично перекрывая задачи друг друга. В этом случае злоумышленнику будет сложнее совершить кражу. Многоступенчатость. Информационная безопасность должна представлять собой несколько ступеней защиты, каждый из которых срабатывает последовательно. При этом наиболее надежной ступенью является то, что расположена глубже всего и защищает самую важную информацию. Надежность. Все ступени защиты информации должны быть одинаково надежными и соотносится с возможной угрозой со стороны третьих лиц. Разумность. При внедрении в работу компании стандартов защиты информации необходимо, чтобы они предотвращали возможные угрозы, но не мешали деятельности компании и доступу к данным легальным пользователям. Кроме того, стоимость мероприятий по защите должна быть такой, чтобы работа компании оставалась рентабельной. Постоянство. Средства защиты данных от неправомерного доступа должны работать постоянно независимо от режима работы компании и других факторов.
Средства и методы защиты конфиденциальных данных от кражи и изменения
Разработчики программных и аппаратных средств защиты от несанкционированного доступа к данным оперативно реагируют на вновь возникающие угрозы и предлагают пользователям эффективные решения, которые уже сейчас могут использоваться в практической работе.
Основными группами инструментов для информационной безопасности являются:
- Физическая защита данных. Для этого на предприятии устанавливаются ограничения на доступ определенных лиц к местам хранения данных или на территорию. Используются дистанционно управляемые СКУД, права доступа определяются радиометками или с помощью других средств идентификации. Например, зайти в помещение с серверами могут только те лица, у которых это право прописано в карточке. Общие средства защиты информации. К ним относятся приложения и утилиты, которые должен использовать каждый пользователь при работе в сети. Например, антивирусные программы, фильтры сообщений электронной почты. К базовым средствам относятся также системы логинов и паролей для доступа во внутреннюю сеть, которые должны периодически меняться во избежание утечки. Противодействие DDoS-атакам. Самостоятельно компания – владелец сервера не может обезопасить свои ресурсы от атак этого типа. Поэтому необходимо использовать внешние утилиты. Они срабатывают, когда система обнаруживает подозрительный трафик или резкое увеличение запросов на доступ. В этом случае активируется специальная программа, которая блокирует посторонний трафик и сохраняет доступ для легальных пользователей. Работа ресурса таким образом не нарушается. Резервирование информации. Это средство защиты направлено не на противодействие незаконному завладению данными, а на ликвидацию последствий постороннего вмешательства. Резервирование предусматривает копирование информации на удаленные хранилища или в «облако». Учитывая низкую стоимость носителей и услуг «облачных» провайдеров, позволить себе многократное резервирование данных может любая компания, для которой важна IT-инфраструктура. План восстановления работы после вмешательства. Это один из последних эшелонов защиты информационной инфраструктуры компании. Каждый владелец корпоративной сети и серверов должен иметь заранее продуманный план действий, направленный на быструю ликвидацию последствий вмешательства и восстановление работы компьютеров с серверами. План вводится в действие в случае, если сеть не может функционировать в стандартном режиме или обнаружено постороннее вмешательство. Передача зашифрованных данных. Обмен конфиденциальной информацией между удаленными пользователями по электронным каналам связи должен проводиться только с использованием утилит, которые поддерживают конечное шифрование у пользователя. Это дает возможность удостовериться в подлинности передаваемых данных и исключить расшифровку третьими лицами, перехватившими сообщение.
Заключение
Меры по обеспечению информационной безопасности на предприятии должны разрабатываться и реализовываться постоянно, независимо от роли IT-инфраструктуры в производственных процессах.
К решению этого вопроса необходимо подходить комплексно и с привлечением сторонних специалистов. Только такой подход позволит предотвратить утечку данных, а не бороться с ее последствиями.
Основы ИБ
Защита данных
с помощью DLP-системы
С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.
В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:
Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.
Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.
Правовая основа
В декабре 2017 года в России принята новая редакция Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.
Доктрина – концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.
Определение информационной безопасности
Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.
Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.
Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.
Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.
В инфографике использованы данные собственного исследования «СёрчИнформ».
В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров – юридических лиц, которым принадлежат определенные данные.
Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.
Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.
Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых – нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.
Три основных вопроса ИБ-концепции для любой организации
Система ИБ
Система информационной безопасности для компании – юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.
Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:
Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.
Доступность – это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.
Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.
Равные свойства ИБ имеют разную ценность для пользователей, отсюда – две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр – доступность.
Объекты защиты в концепциях ИБ
Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:
Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.
Категории и носители информации
Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:
Информация из первой группы имеет два режима охраны. Государственная тайна, согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных – непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, – Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Конфиденциальная информация – более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера». Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:
Право на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:
Средства защиты информации
Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты – это документы, правила, мероприятия, формальные – это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.
Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.
Формальные средства защиты
Широкий диапазон технических средств ИБ-защиты включает:
Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.
Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.
Программные средства – это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат DLP-системы и SIEM-системы: первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые – обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
«СёрчИнформ КИБ» можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.
К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.
Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.
В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.
В 2018 году вышел первый релиз «СёрчИнформ ProfileCenter». Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.
Неформальные средства защиты
Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.
Эта категория средств обеспечения информационной безопасности представлена законодательными актами и нормативно-распорядительными документами, которые действуют на уровне организации.
В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный – ISO/IEC 27000. Стандарт создавали две организации:
Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.
Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.
По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный – концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, – положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.
Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.
В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.