Организационные меры защиты информации на предприятии

Средства защиты информации на предприятии: антивирус, обучение персонала и другие методики

Для современных предприятий характерно стремительное развитие их информационной среды. Постоянное накопление информации требует ее надлежащей обработки и хранения.

В результате работы с данными важной задачей является организация защиты информации на предприятии.

Если правильно не организовать работу в этом направлении, то можно потерпеть крах в современной экономической среде, которая не всегда отличается доброжелательной конкуренцией.

Рекомендации по защите информации на предприятии

Зачастую все обстоит по-другому, конкурирующие фирмы стараются правильными и неправильными способами получить информацию о своем конкуренте, чтобы опередить его в развитии и продвижении на рынке.

На сегодня защита информации на предприятии представляет собой комплекс мер, которые направлены на то, чтобы сохранить целостность, уберечь от кражи и подмены следующих данных:

1. база данных клиентов и партнеров;
2. электронный документооборот компании;
3. технические нюансы деятельности предприятия;
4. коммерческие тайны.

Для успешного управления огромными потоками перечисленных данных предприятие должно иметь систему менеджмента информационной безопасности.

Способы защиты информации

Она должна непрерывно работать на решение задачи защиты важной информации и отличаться хорошей защитой от внешних угроз и атак.

Также Вы можете прочесть статью: Основные средства и технологии по защите информации в интернете

Оценка рисков

Система защиты информации на предприятии должна разрабатываться с учетом рисков, которые наиболее часто встречаются в информационной среде современных компаний.

К основным из них следует отнести:

• попытки получения доступа к данным, которые недоступны для неавторизованных пользователей информационной системы предприятия;
• несанкционированное изменение и подмена информации, которая может привести к потере предприятиями своей репутации и имиджа;
• попытки получения доступа и кражи конфиденциальной, секретной и технической информации.

Исходя из перечисленных рисков, должны выбираться методы и алгоритмы защиты важной для предприятия информации.

Защита информации компьютера

Чтобы эту задачу решить положительно, на предприятии должна быть разработана и внедрена информационная политика, согласно которой производится градация данных, которая могут иметь открытый или только закрытый доступ.

Возможные источники проблем

Чтобы правильно выбрать методы защиты информации на предприятии и эффективно использовать их следует определиться с источниками возможных угроз потери данных.

К основным из них относятся:

1. сбои в аппаратной системе предприятия, обеспечивающей обработку и хранения данных;
2. мошенничество с целью получения доступа к информации;
3. искажение данных с целью получения неправомерной выгоды или нанесения ущерба компании;
4. подлог данных или их хищение с помощью различных аппаратных и программных средств;
5. кража информации с помощью устройств, использующих для этого электромагнитное излучение, акустические сигналы, визуальное наблюдение.

Перечисленные угрозы могут исходить как от сторонних лиц, которым нужны определенные данные компании в личных интересах, конкурирующие фирмы или сотрудники организаций, которые небрежно выполняют свои функциональные обязанности, или решили передать важные данные конкурентам.

Если угроза исходит от сотрудников, то они, скорее всего, постараются незаметно скопировать информацию, воспользовавшись своими полномочиями, и передадут ее третьим лицам.

Воровство конфиденциальной информации с помощью хакеров

Когда данные стараются получить сторонние лица, в основном используются различные программные средства.

Они делятся на:

• спам-рассылку с вредоносными ссылками;
• вирусные программы;
• троянские и шпионские плагины;
• игровые закладки с измененным кодом под вирусный софт;
• ложное программное обеспечение с измененными функциями.

Учитывая перечисленные угрозы, защита конфиденциальной информации на предприятии должна строиться как на аппаратном, так и программном уровне. Только в комплексе можно успешно защитить свои данные от киберзлоумышленников.

Примеры неправомерных действий

В качестве примера неправомерных действий, направленных на получение выгоды от подделки, замены, кражи информации можно привести следующие.

1. Злоумышленник получает доступ к данным клиентов банка. Имея в наличии информацию о физлице, номерах его счетов, платежных карт, он может подделать документы или банковские карты и неправомерно снять деньги со счета другого человека.
2. Если киберпреступник получит доступ к электронным копиям документов, он сможет подделать оригинальные документы и оформить кредит на другого человека.
3. Во время расчета в интернет-магазине, злоумышленник, используя специальные плагины, может подменить реквизиты магазина, переведя деньги покупателя на свой счет, а не в магазин.
4. При передаче важной технической информации каналами связи, кибершпионы, используя различные средства слежения и считывания, могут просканировать канал, по которому передается информационный трафик и получить доступ к техническим секретам предприятия.

Процесс организации защиты информации на предприятии

К основным этапам комплексной защиты информации на предприятии относятся:

• формирование информационной политики предприятия, компании;
• создание внутреннего правового поля использования информации;
• формирование подразделения информационной защиты и безопасности.

Защитная деятельность компании должна вестись в следующих направлениях:

1. защита данных, которые обрабатываются и хранятся в архивах;
2. исключение вероятности несанкционированного проникновения в информационную среду компании;
3. правильная работа с персоналом для исключения краж важных данных сотрудниками компании.

Меры защиты

Для повышения информационной безопасности предприятиями активно используются следующие меры безопасности.

Возможно Вас заинтересует статья: Классификация методов защиты информации в современных реалиях

Формирование системы доступа к данным внутри корпоративной сети

Предприятиями используются различные автоматизированные системы управления доступом к данным согласно приоритетам и статусам сотрудников компании.

Это упрощает процедуру отслеживания перемещения потоков данных и выявления утечек информации.

Антивирусная защита

Использование эффективного антивирусного программного обеспечения исключит вероятность кражи данных с помощью специального софта.

Защита от вирусов на комппьютере

Он может попасть в информационную среду компании по сети интернет .

Зачастую практикуется параллельное использование двух программных продуктов, отличающихся разными алгоритмами определения шпионского и вирусного софта.

Системы обнаружения и защиты от кибератак

Подобного рода системы активно внедряются в информационные системы предприятий, поскольку позволяют защитить не только от распространения программ с вредоносным кодом, а и блокируют попытки остановки информационной системы предприятия.

Обучение персонала сетевой безопасности

Многие компании проводят для своих сотрудников семинары и конференции, на которых обучают безопасному поведению в локальной и глобальной сетевой среде, а также безопасному обращению с информацией во время выполнения своих ежедневных функциональных обязанностей.

Обучение персонала на предприятии

Это существенно сокращает риски, того что информация будет утеряна или передана третьим лицам по небрежности сотрудников.

Заключение

Комплексная система защиты информации на предприятии – это сложная задача, которую предприятию самостоятельно решить достаточно сложно.

Для этого существуют специализированные организации, которые помогут сформировать системы информационной безопасности для любого предприятия.

Квалифицированные специалисты умело создадут структуру защиты, концепцию ее внедрения в конкретной компании, а также выберут подходящие аппаратные и программные средства для решения поставленной задачи.

Также ими проводится подготовка сотрудников компаний, которые потом будут работать с внедренной системой безопасности и поддерживать ее функциональность на надлежащем уровне.

: Подход к защите информации на современном Предприятии

Источник: https://bezopasnostin.ru/informatsionnaya-bezopasnost/zashhita-informatsii-na-predpriyatii.html

Меры по обеспечению информационной безопасности | Описание мер по обеспечению информационной безопасности на предприятии

В деятельности любой организации или предприятия образуются массивы информации, подлежащей охране. Требования к конфиденциальности могут определяться как федеральными законами, это касается банковской тайны или персональных данных, так и позицией компании, которая должна охранять коммерческую тайну. Меры защиты, предпринимаемые для обеспечения информационной безопасности, зависят от нормативно-правовых требований и принятой в компании концепции противодействия информационным угрозам.

Как обеспечить информационную безопасность предприятия

Руководство предприятия или организации должно разработать и внедрить концепцию по обеспечению информационной безопасности. Этот документ является основополагающим для разработки внутренних регламентов и системы защитных мер. Разработку политики безопасности часто поручают приглашенным экспертам по защите информации, способным провести аудит как информационной системы, так и организационной структуры компании и ее бизнес-процессов и разработать актуальный комплекс мер по защите информации.

Концепция безопасности

В дальнейшем концепция безопасности может стать основой для внедрения DLP-системы и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

В концепции обеспечения информационной безопасности предприятия определяются:

• информационные массивы компании, подлежащие защите, основания защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Этот раздел готовится в тесном взаимодействии со всеми подразделениями компании. Система оценки информации должна предполагать и установку уровня доступа сотрудников к ресурсам;
• основные принципы защиты информации. Обычно к ним относятся конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Стратегия обеспечения информационной безопасности компании целиком и полностью строится на этих принципах. Кроме того, необходимо определить политики и правила, основываясь на которых выстраивается информационная система компании и общая система защиты информации;
• модель угроз информационной безопасности, релевантная для компании в целом и ее отдельных бизнес-единиц, а также модель гипотетического нарушителя. Им может оказаться конкурент, хакер, но чаще всего инсайдер. Центробанк РФ в своих стандартах, предлагающих рекомендации по обеспечению информационной безопасности, считает именно инсайдера основным источником рисков;
• требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
• методы и средства защиты информации.

Концепция сама по себе не решает задачу ответственности сотрудников компании за неправомерное обращение с информацией, в том числе за ее разглашение. Для решения этой задачи необходимо внедрить дополнительную систему организационных мер защиты информации, которые включают информирование, ознакомление под роспись, внесение в трудовые договоры соответствующих положений о защите информации, составляющей коммерческую тайну.

После разработки концепции необходимо приступать к ее внедрению. Система предлагаемых мер должна пройти согласование во всех причастных подразделениях компании, так как вопрос бюджетирования всегда ограничивает возможности по защите информации, сложности проводимых мероприятий и приобретению программных продуктов.

Объекты защиты

Каждая компания сама определяет массивы информации, которые подлежат защите. Это может быть стратегии развития, ноу-хау, патенты, бизнес-процессы, клиентские базы и другие данные. Но есть общие объекты защиты, безопасность которых необходимо обеспечить, чтобы иметь возможность защитить данные от утечек или намеренного разглашения. К таким объектам в первую очередь относятся автоматизированные информационные системы предприятия.

Компьютеры, серверы, каналы связи, периферийные устройства становятся целью хакеров или инсайдеров, заинтересованных в организации утечек информации. Решаются задачи ее хищения как через сеть, так и в ручном режиме, путем копирования информации или установки закладных устройств.

Организационные и технические меры должны быть направлены на физическую защиту системы и установку программного обеспечения, которое устранит внешнее сетевое вмешательство.

Классификация осуществляется как по типу информации, так и по местам ее хранения.

Конфиденциальную информацию обычно классифицируют следующим образом:

• персональные данные, подлежащие защите на основании норм федерального законодательства;
• программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;
• программные продукты, созданные или доработанные в интересах компании;
• базы документооборота;
• архивы электронной почты и внутренней переписки;
• производственная информация, документы стратегического характера;
• научная информация, данные НИОКР;
• финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

Меры по обеспечению информационной безопасности

Обеспечение безопасности должно основываться на одновременном применении всего комплекса мер, предусмотренных законом или предлагаемых специалистами. Технические и организационные меры необходимо соразмерять с возможностями организации и информационной системы.

Система мер, рекомендуемая для большинства компаний, перед которыми стоит вопрос защиты информации, призвана обеспечить соблюдение основных признаков ее безопасности:

• доступность сведений. Под этим определением понимается возможность и для авторизованного субъекта в любое время получить требуемые данные, и для клиентов в регулярном режиме получать информационные услуги;
• целостность информации. Это означает ее неизменность, отсутствие любых посторонних, неавторизованных вмешательств, направленных на изменение или уничтожение данных, нарушение системы их расположения;
• конфиденциальность или абсолютная недоступность данных для неавторизованных субъектов;
• отсутствие отказа или невозможность отрицать принадлежность действий или данных;
• аутентичность или возможность достоверного подтверждения авторства информационных сообщений или действий в системе.

Организационные меры

К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.

Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:

• документирование и оптимизацию бизнес-процессов;
• установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;
• создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;
• информирование или переобучение персонала;
• организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;
• получение лицензий, например, на работу с государственной тайной;
• обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;
• создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;
• установка пропускной системы для сотрудников, выдача им электронных средств идентификации;
• выполнение всех требований законодательства по защите персональных данных;
• разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

Технические меры

К техническим средствам и мерам обеспечения информационной безопасности относятся не только программные продукты, например, DLP-системы, но и другие инструменты, находящиеся в распоряжении компании. Меры защиты информации с технической точки зрения должны опираться на модель построения информационной системы предприятия, позволяющую выстроить оборону против посягательств на конфиденциальные сведения.

К принципам построения такой системы относятся:

• простота архитектуры, упрощение компонентов, сокращение числа каналов и протоколов межсетевого взаимодействия. В системе должны присутствовать только те элементы, без которых она окажется нежизнеспособной;
• внедрение только протестированных программных решений, уже не раз опробованных другими предприятиями, плюсы и минусы которых очевидны;
• минимальные доработки имеющихся лицензионных программных продуктов силами собственных или привлеченных исполнителей;
• использование только лицензированного ПО, при возможности оно должно быть внесено в государственный реестр программ для ЭВМ и баз данных;
• использование для построения системы только аутентичных компонентов, надежных и долговечных, не способных неожиданно выйти из строя и подорвать работоспособность системы. Все они должны быть совместимыми друг с другом;
• управляемость, легкость администрирования как самой системы, так и применяемых программных продуктов, минимальное использование сторонней технической поддержки;
• протоколирование и документирование любых действий пользователей, осуществляемых с файлами, содержащими конфиденциальную информацию, случаев несанкционированного доступа;
• эшелонированность обороны. Каждый потенциальный канал утечки должен иметь несколько рубежей системы защиты, затрудняющих работу потенциального похитителя информации.

При реализации этих принципов обеспечения информационной безопасности рассматриваются вопросы об использовании дополнительных технических средств защиты информации, к которым относятся:

• средства криптографической защиты, обеспечивающие шифрование на рабочих станциях и серверах, передаваемой по каналам связи;
• средства антивирусной защиты;
• SIEM-системы и DLP-системы, обеспечивающие закрытие всех потенциальных каналов утечки информации и перехват исходящего трафика.

Меры по обеспечению информационной безопасности должны быть разумными, бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной.

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/osnovnye-printsipy-obespecheniya-informatsionnoj-bezopasnosti/mery-po-obespecheniyu-informatsionnoj-bezopasnosti/

Организационные и правовые методы защиты информации

В вычислительных системах и сетях сосредотачивается информация, исключительное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вмешательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации.

К тому же в вычислительных системах и сетях должны приниматься меры по защите вычислительных ресурсов сети от их несанкционированного использования, т. е. должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая защита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность.

По этой причине в вычислительных системах и сетях должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность [11].

Существует множество возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях. В их числе:

— чтение остаточной информации в памяти системы после выполнения санкционированных запросов;

— маскировка под зарегистрированного пользователя;

— использование программных ловушек;

— незаконное подключение к аппаратуре и линиям связи;

— злоумышленный вывод из строя механизмов защиты;

— внедрение и использование компьютерных вирусов и др.

Обеспечение безопасности информации в вычислительных системах и сетях и в автономно работающих компьютеров достигается комплексом организационных, правовых, технических и программных мер.

К организационным мерам защиты относятся:

1. Ограничение доступа в помещения, в которых происходит подготовка и обработка информации.

2. Допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц.

3. Хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах.

4. Исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т. д.

5. Использование криптографических кодов при передаче по каналам связи ценной информации.

6. Уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Правовые методы защитыпрограмм включают:

1. Патентную защиту.

2. Закон о производственных секретах.

3. Лицензионные соглашения и контракты.

4. Закон об авторском праве.

Патентная защитаустанавливает приоритет в разработке и использовании нового подхода или метода, примененного при разработке программ, удостоверяет их оригинальность.

Статус производственного секретадля программы ограничивает круг лиц, знакомых или допущенных к ее эксплуатации, а также определяет меру их ответственности за разглашение секретов. Например, используется парольный доступ к программному продукту или базе данных, вплоть до паролей на отдельные режимы (чтение, запись, корректировку и т. п.). Программы, как любой материальный объект большой стоимости, необходимо охранять от кражи и преднамеренных разрушений.

Лицензионные соглашенияраспространяются на все аспекты правовой охраны программных продуктов, включая авторское право, патентную защиту, производственные секреты. Наиболее часто используются лицензионные соглашения на передачу авторских прав.

В лицензионном соглашении оговариваются все условия эксплуатации программ, в том числе создание копий.

Закон об авторском праве программного продукта признает автором физическое лицо, в результате творческой деятельности которого они созданы. Автору независимо от его имущественных прав принадлежат личные авторские права: авторство, имя, неприкосновенность (целостность) программ. Программные продукты могут использоваться третьими лицами – пользователями на основании договора с правообладателем.

Организационно-правовое обеспечение является многоаспектным понятием, включающим законы, решения, нормативы и правила. Причем, применительно к защите информации, обрабатываемой в автоматизированной системе, оно имеет ряд особенностей, обусловленных следующими обстоятельствами:

— представлением информации в привычной и неудобочитаемой для человека двоичной форме;

— использованием носителей информации, записи на которых недоступны для простого визуального просмотра;

— возможностью многократного копирования информации без оставления каких-либо следов;

— легкостью изменения любых элементов информации без оставления следов типа подчисток, исправления и т. п.;

— невозможностью традиционного скрепления документов традиционными подписями со всеми нормативно-правовыми аспектами этих подписей;

— наличием большого числа нетрадиционных дестабилизирующих факторов, оказывающих влияние на защищенность информации.

Исходя из приведенных обстоятельств, комплекс вопросов, решаемых организационно-правовым обеспечением, может быть сгруппирован в три класса:

— организационно-правовая основа защиты информации;

— технико-экономические аспекты организационно-правового обеспечения защиты;

— юридические аспекты организационно-правового обеспечения защиты.

Дадим краткую характеристику каждому классу.

Организационно-правовая основа защиты информации включает:

— определение подразделений и лиц, ответственных за организацию защиты информации;

— нормативно-правовые, руководящие и методические материалы (документы) по защите информации;

— меры ответственности за нарушение правил защиты;

— порядок разрешения спорных и конфликтных ситуаций по вопросам защиты информации.

Под технико-математическими аспектами организационно-правового обеспечения понимается совокупность технических средств, математических методов, моделей, алгоритмов и программ, с помощью которых могут быть соблюдены все условия, необходимые для юридического разграничения прав и ответственности относительно регламентов обращения с защищаемой информацией. Основными из этих условий являются следующие:

— фиксация на документе персональных идентификаторов (подписей) лиц, изготовивших документ и (или) несущих ответственность за него;

— фиксация (при любой необходимости) на документе персональных идентификаторов (подписей) лиц, ознакомившихся с содержанием соответствующей информации;

— возможность незаметного (без оставления следов) изменения содержания информации даже лицами, имеющими санкции на доступ к ней, т. е. фиксация фактов любого (как санкционированного, так и несанкционированного) изменения информации;

— фиксация факта любого (как несанкционированного, так и санкционированного) копирования защищаемой информации.

Под юридическими аспектами организационно-правового обеспечения защиты информации понимается совокупность законов и других нормативно-правовых актов, с помощью которых достигаются следующие цели:

— устанавливается обязательность соблюдения всеми лицами всех правил защиты информации;

— узакониваются меры ответственности за нарушение правил защиты;

— узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации;

— узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

Рисунок 4.10. Общее содержание организационно-правового обеспечения защиты информации

Для обеспечения защиты информации необходимо создание законодательной основы. Поэтому в ведущих странах, в том числе и в России, этому вопросу уделяется достаточно большое внимание. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как на ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям [12].

1. Защита прав личности на частную жизнь. Основные принципы установления пределов вмешательства в частную жизнь со стороны государства и других субъектов определены основополагающими нормами ООН, а именно Декларацией прав человека. К концу 70-х годов сформулированы два принципа, нашедших впоследствии отражение в национальных законодательствах по информатике ряда стран Запада:

— установление пределов вмешательства в частную жизнь с использованием компьютерных систем;

— введение административных механизмов защиты граждан от такого вмешательства.

Примерами документов, относящихся к этому направлению, являются резолюция Европарламента «О защите прав личности в связи с прогрессом информатики» (1979 г.) и Конвенции ЕС «О защите лиц при автоматизированной обработке данных персонального характера» (1989 г.).

2. Защита государственных интересов. Проблема решается с помощью достаточно разработанных национальных законодательств, определяющих национальные приоритеты в этой области. Интеграция стран – членов ЕС потребовала координации усилий в данной области, в результате чего общие принципы засекречивания информации отражены в Конвенции ЕС по защите секретности.

3. Защита предпринимательской и финансовой деятельности. Данный аспект проблемы решается путем создания законодательного механизма, определяющего понятие «коммерческая тайна» и устанавливающего условия для осуществления «добросовестной» конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции.

К этому же направлению можно отнести создание механизмов защиты авторских прав, в частности прав авторов программной продукции. Последний аспект отражен в директиве ЕС «О защите программ для ЭВМ и баз данных» (1990 г.).

В России законодательное регулирование процессов информатизации начало создаваться в начале 90-х годов. Необходимо было срочно законодательно обеспечить эффективное использование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, защитить права личности в условиях информатизации, сформировать механизм обеспечения информационной безопасности.

1991 год – начало активной законотворческой деятельности в этом направлении. Законодатели сконцентрировали свое внимание на следующих наиболее острых для России проблемах:

— проблеме права на информацию;

— проблеме собственности на некоторые виды информации;

— проблеме признания информации объектом товарного характера.

Принят базовый закон Российской Федерации «Об информации, информатизации и защите информации», который занимает центральное место во всей системе правового обеспечения безопасности информации. Закон впервые в законодательной практике России:

— определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направления государственной политики в этой сфере;

— закрепляет права граждан, организаций, государства на информацию;

— устанавливает правовой режим информационных ресурсов на основе применения в этой области порядка документирования, права собственности на документы и массивы документов в информационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом, порядка правовой защиты информации;

— развивает правовой режим признания за документами, полученными из информационной системы, юридической силы, в том числе на основе подтверждения электронной цифровой подписью;

— определяет информационные ресурсы как элемент состава имущества и объект права собственности;

— устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно-технической, производственной базы информатизации, формирования рынка информационной продукции, услуг в этой сфере;

— разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспечения;

— устанавливает правила и общие требования ответственности за нарушение норм законодательства в области информатизации и защиты информации в системах ее обработки, гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

В Законе предусмотрена специальная глава, посвященная защите информации. В этой главе устанавливается, что защите подлежит вся документированная информация, обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Режим защиты устанавливается в отношении:

— сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;

— конфиденциальной документированной информации собственником информационных ресурсов или уполномоченным лицом на основании настоящего закона;

— персональных данных – отдельным федеральным законом.

Также приняты специальные законы «О государственной тайне», «О правовой охране программ ЭВМ и баз данных», «О правовой охране топологий интегральных микросхем», «О международном информационном обмене». Вопросы правового обеспечения защиты информации нашли отражение и в законе Российской Федерации «О безопасности», принятом в марте 1992 года.

:

Источник: http://csaa.ru/organizacionnye-i-pravovye-metody-zashhity/

организационные меры защиты информации | Защита информации

06.10.2015

Во время реализации системы контроля над конфиденциальным данными, у сотрудников службы информационной безопасности предприятия постает вопрос, быть или не быть по поводу выбора методов защиты информации. Аргументы о недостатках и преимуществах убедительна и стройна.

К примеру сторонники программно-аппаратных средств считают что надо втихую ставить фильтры и отслеживать атаки, ибо если принимать организационные меры нарушитель испугается. Сторонники скупых, считают что достаточно будет пустить слух, что все под колпаком. А увольняющимся сотрудникам будут доплачивать за распространение ложных показаний по поводу строгости на предприятии.

Что бы объективно подойти к этому вопросу, нужно отталкиваться от конкретных задач внедрения системы безопасности. Общие задачи показано на рис.1.

Рисунок — 1

Для определение конкретной организационной защиты, нужно четко знать ответы на вопросы:

• Сколько компьютеров установлено на предприятии? Сколько сейчас находятся в ремонте ? а сколько работает ?
• Сможете ли вы найти маскарад оборудования ?
• Какие задачи решает каждый компьютер ?
• Как проверяется оборудование, вернувшееся из ремонта ?
• Каков алгоритм приема нового сотрудника или оборудования ?

Список можно продолжать. Защита начинается с постановки вопроса. Многие кто сталкивался с подобной задачей, установки организационных средств защиты могут однозначно сказать, что каждый пользователь негативно относится к таким средствам. Они сковывают его свободу в рамках предприятия, так как шаг в лево или в право отслеживается.

Универсального рецепта, так же как и идеальных условий, не бывает. Нужно рассматривать отдельно для каждого случая отдельные пути решения.

Психологические меры

Независимо от меры защиты, есть два способа внедрения систем защиты: закрытый и открытый. Понятно что реорганизовать документооборот незаметно от сотрудников не реально. Но если основной целью внедрения системы, это выявление уже существующего линии утечки, то есть смысл подождать с объявлением процедур о нововведении новых мер защиты, а поставить мониторы фильтры и другие скрытые механизмы защиты.

Иногда можно даже замаскировать программные утилиты на робочих станциях сотрудников (антивирусы, мониторы аудита, межсетевой экран, программы для тестирования сети). Также для внутренних угроз за счет психоловидеонаблюдения, можно поставить неподключенные камеры. Сам факт наличия камеры дает сомнения для действий нарушителя. При этом можно раздуть иные меры защиты, так сказать взять подписи о неразглашении данных, рассказать о последствиях утечки и тд.

Такие псхихологические моменты создают устойчивый барьер для действий на возможные нарушения.

Права на локальных пользователей

Неправильно считать, что установив самое совершенное ПО все проблемы связанные с утечками решатся. Нужно ограничивать доступ к этим ПО на локальных ПК сотрудников. Самый простой способ, это ограничивание прав локального администратора на простых рабочих станциях. Также можно использовать ОС с неспособностью поддерживать удаленный доступ. Обучение сотрудников, инструктаж и другие моменты во многом помогут продотвратить утечки через необозначеных сотрудников. Любое копирование данных на флешки, должны вызывать вопросы у коллег. Также сильно квалифиированные сотрудники также не всегда плюс.

Стандартизация ПО

В компаниях можно редко увидеть такой документ, как список ПО допустимый и установке и использования на локальных ПК предприятия. Неучет ПО следует к прямым утечкам данных. К примеру наличие на ПК файлового менеджера Total Commander разрешает копировать временные файлы, а также другие низкоуровневые операции.

Как быть, заставить сотрудников пользоваться стандартными средствами ОС или разрешать такие мощные инструменты для похищения данных ? Как будет составлен список ПО, нужно обеспечить установку на всех локальные ПК и ограничить запуск других программ без прав администратора.

Схема все, что не разрешено — запрещено, должен работать безотказно.

Хранение физических носителей

Это еще один канал утечки. Есть два способа предотвращению утечки. Первый — анонимизация носителей. Сотрудники которые имеют доступ к носителям, не знают на каком носителе какая информация, они только обращаются к номерам носителей. Те сотрудники которые знают какая информация находится на каком носителе, они не дожны иметь доступ к хранилищу носителей. Второй — это шифрование (блочное или поточное) при резервном копировании. Также должны быть такие вещи, как замки на дверях, другие способы доступа к комнате с носителями.

Уровень проработки системы защиты с внутренними ИТ-угрозами зависит от уровня паранойи компании. Предела нет. Нужно понимать, что владелец информации имеет право на ее защиту и конфиденциальность. Можно перефразировать на новый лад следующее, Тот бизнес чего-либо стоит, который может защищаться.

Периодические мероприятия

К ним относят:

• анализ системных журналов
• распределение реквизитов доступа (пароли, ключи)
• Пересмотр правил доступа сотрудников к информационным ресурсам
• Привлекать сторонних специалистов для проверки системы защиты

Мероприятия по необходимости

К ним относят:

• Действия, реализуемые при изменениях в кадровом составе предприятия
• Действия при изменение настроек оборудования или при ремонте его
• Проверка новых сотрудников на предмет знания правил политики безопасности и ответственности

Постоянные мероприятия

К ним относят:

• Действия по реализации нужного уровня физической защиты: пропускной режим, противопожарная охрана, видеонаблюдение и тд. Практическую реализацию можно посмотреть на nnsbnn.ru
• Скрытый и явный контроль за работой сотрудников предприятия
• Действия направленные на поддержку работоспособности средств защиты
• Контроль за соблюдением политики безопасности сотрудниками
• Периодически проводить анализ и оценку эффективности средств защиты

Итог

Плюсы организационных мер защиты информации:

• Проста реализации
• Большой спектр решаемых задач
• Гибкость реагирование на НСД
• Гибкость при изменение поставленных задач

К минусам можно отнести:

• Необходимость в людях
• Зависимость от субъективных факторов
• Низкая надежность без дополнительных направлений защиты (техническая, программная и тд)
• Неудобства с большим объемом рутинной деятельностью

Источник: http://infoprotect.net/note/organizacionnyie_meryi_zasccityi_informacii