Что является выходами системы защиты информации?

Содержание

Защита информации

Что является выходами системы защиты информации?

Анетта 01 июня 2015 21:30

Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Информационная безопасность

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

Модель информационной безопасности

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность — представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность — представляет собой избежание несанкционированных изменений информации;
  • доступность — представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность — представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность — представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Составляющие информационной безопасности

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.

Нормативные документы в сфере безопасности информации

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1)      Федеральные законодательные акты:

  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить:

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности.

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Органы (подразделения), которые обеспечивают информационную безопасность

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организационная защита различных объектов информатизации

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

Источник: https://utmagazine.ru/posts/9798-zaschita-informacii

Гост р 53114-2008 защита информации. обеспечение информационной…

Что является выходами системы защиты информации?

ГОСТ Р 53114-2008

Группа Т00

ОКС 35.020

Дата введения 2009-10-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации».

Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты».

Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, — светлым, а синонимы — курсивом.

Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Настоящий стандарт применяется совместно с ГОСТ 34.003, ГОСТ 19781, ГОСТ Р 22.0.02, ГОСТ Р 51897, ГОСТ Р 50922, ГОСТ Р 51898, ГОСТ Р 52069.0, ГОСТ Р 51275, ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/ МЭК 27001, ГОСТ Р ИСО/МЭК 13335-1, [1], [2].

Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г.

N 184-ФЗ «О техническом регулировании» [3], Федерального Закона Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и защите информации» [4], Федерального Закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» [5], Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г.

Пр-1895 [6].

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения

ГОСТ Р 22.0.02 Безопасность в чрезвычайных ситуациях. Термины и определения

ГОСТ Р ИСО 9000 Системы менеджмента качества.

Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению

ГОСТ Р ИСО/МЭК 13335-1 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности.

Системы менеджмента информационной безопасности. Требования

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51898 Аспекты безопасности. Правила включения в стандарты

ГОСТ Р 52069.0 Защита информации. Система стандартов.

Основные положения

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год.

Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия).

Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3.1 Общие понятия

3.1.1

безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.[ГОСТ Р 50922-2006, статья 2.4.5]

3.1.2

безопасность информационной технологии: Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации.[Р 50.1.056-2005]

3.1.3

информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.[Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр-1895]

3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

3.1.5

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.[ГОСТ Р 51275-2006, пункт 3.1]

3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.

Примечание — К активам организации могут относиться:

— информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.

) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);

— ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);

— процессы (технологические, информационные и пр.);

3.1.7

ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.Примечание — Основными ресурсами являются процессоры, области основной памяти, наборы данных, периферийные устройства, программы.[ГОСТ 19781-90, статьят 93]

3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.

3.1.9

3.1.10

техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.[ГОСТ Р 34.003-90*, статья 2.5]

_________________
* Вероятно ошибка оригинала. Следует читать ГОСТ 34.003-90. Здесь и далее. — Примечание изготовителя базы данных.

Источник: http://docs.cntd.ru/document/gost-r-53114-2008

Способы защиты информации | Методы и средства защиты информации

Что является выходами системы защиты информации?

Данные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

  • препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
  • управление, или оказание воздействия на элементы защищаемой системы;
  • маскировка, или преобразование данных, обычно – криптографическими способами;
  • регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
  • принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
  • побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы. 

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

  • разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
  • проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
  • разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
  • внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
  • составляют планы восстановления системы на случай выхода из строя по любым причинам.

Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Что такое ИБ-аутсорсинг и как он работает? Читать.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

  • резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
  • дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
  • создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
  • обеспечение возможности использовать резервные системы электропитания;
  • обеспечение безопасности от пожара или повреждения оборудования водой;
  • установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. 
Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/zaschita-informatsii/sposoby-zaschity-informatsii/

Что входит в систему защиты информации?

Что является выходами системы защиты информации?

Государство должно отвечать основным конституционным требованиям и обеспечивать защиту не только своему народу, но и всей информации, которой оно владеет. В первую очередь целостность данных должна обеспечивать система обороны страны. От этого зависит безопасность народа и неделимость его территории. Затем необходимо надежно защитить каналы передачи информации, что не даст возможности исказить, скопировать или уничтожить секретные данные.

Комплексные системы защиты информации, которые дают возможность регулировать, управлять и защищать каждый сегмент информационной инфраструктуры на всех уровнях, создаются именно для этих целей. Используемая техника защиты информации должна отвечать современным стандартам безопасности и контролироваться соответствующими органами.

Угрозы могут исходить от разных источников и категорий населения, поэтому мероприятия по защите информационных систем должны проводиться по всем направлениям, таким как внешняя и внутренняя политика, несанкционированный доступ или банальная ошибка сотрудника.

А программы и техника обязательно должны пройти сертификацию, чтобы злоумышленники не смогли использовать их в своих целях.

Безопасность страны

Безопасность каждого гражданина, общества в целом, равно как и безопасность интересов всего народа, обеспечивается единой системой защиты информации. Это могут быть личные данные физического лица или сведения о деятельности юридических лиц, данные о состоянии и наработках того или иного государственного сегмента. Важными сведениями для разведки чужого государства станет информация о запасах сырья, оружия или других материалов и ресурсов. Если рассматривать информационную инфраструктуру государства, можно выделить несколько составляющих категорий всей системы:

  • Государственные органы управления (местные, районные);
  • Учреждения, занимающиеся исследовательской и научной деятельностью;
  • Предприятия и организации, работающие в сфере обороны;
  • Автоматизированные системы управления и необходимые каналы связи.

Пробраться внутрь каждой из категорий информационных систем может сотрудник организации, группа злоумышленников, имеющие доступ к компьютерным сетям или к технике, поступающей непосредственно в этот сегмент. Искажать или копировать информацию могут другие государства через возможную и доступную для них сферу влияния: информационно-психологическое воздействие, деятельность политических объединений, экономических или военных структур.

-урок на данную тему:

Системы защиты информации подвержены таким воздействиям:

  • Несанкционированный сбор и использование данных в своих целях;
  • Поставка компьютерных и других программ, которые будут нарушать работу и негативно воздействовать на информацию;
  • Воздействие на каналы передачи путем уничтожения, копирования или искажения сведений;
  • Вмешательство в процесс обработки данных;
  • Воздействие на системы защиты и паролирования;
  • Подавление и полное глушение сигналов;
  • Поставка устройств перехвата сведений;
  • Хищение носителей информации;
  • Незаконное проникновение и разглашение секретных данных.

На этапе создания общих мер для защиты системы важно распределить информацию и носители по категориям и организовать для каждой из них свой комплекс мероприятий. Допускать к работе с секретными данными только надежных и проверенных людей, использовать в работе сертифицированные устройства и программы. Обязательно контролировать работу всех групп и совершенствовать защитные меры. Каждый компьютер и образованную сеть на любом уровне (государственное учреждение или частное предприятие) обеспечить нужными средствами защиты информации.

Состав и этапы создания структуры

Для обычного пользователя компьютерной техникой структура защиты его системы будет состоять из антивирусной программы и встроенных программ операционной системы или браузера. Для предприятия этого будет недостаточно. В общую структуру таких информационных систем войдут средства и программы шифрования или криптографии, создание границ с пропускными пунктами на территории организации, использование систем аутентификации и другие способы защиты информации.

-лекция по Нормативно-правовым документам и стандартам:

Комплекс защитных мер предусматривает выделение всевозможных угроз и каналов утечки, на каждом из которых должна быть установлена преграда к несанкционированному доступу или незаконному проникновению. Соответствующую подготовку должны пройти все сотрудники, чтобы не стать даже косвенной причиной утечки секретных данных.

Безопасность информационных систем – это огромная работа, которая задействует большое количество финансовых вложений и сил.

А государственная система защиты информации находится на самом высоком уровне организации безопасности и секретности, использующая целые подразделения с самыми мощными и современными средствами и техникой.

В нее входят:

  • Системы лицензирования предпринимательской деятельности;
  • Органы аттестации объектов информатизации;
  • Органы сертификации защитных средств.

Во главе всей системы ее деятельностью руководит президент, которому подотчетны технические комиссии и межотраслевые советы. У каждого предприятия или организации в обязанности руководителя компании входит создание, контроль и улучшение работоспособности системы его подразделения. Для этого создается специальная группа, ответственная за безопасность информации, с возможным привлечением специализированных лицензированных предприятий.

Создание структуры безопасности будет проходить в такой последовательности:

  1. До создания защиты информации воспрещается использовать секретные данные на всех уровнях;
  2. Формирование подразделения безопасности и распределение обязанностей;
  3. Обнаружение возможных каналов утечки;
  4. Выделенные группы данных категорируются по уровням важности и секретности;
  5. Выбор защитной системы и соответствующего класса защищенности;
  6. Создание плана с указанием необходимых мер;
  7. Для каждого уровня формируется своя инструкция и создается технический паспорт;
  8. Установка предусмотренных планом технических средств защиты информации;
  9. Создание системы аутентификации и паролирования для доступа к секретным объектам;
  10. Испытание системы защиты;
  11. Проведение аттестации всех объектов согласно установленным указаниям.

Как защитить информацию от утечек смотрите в этом видео:

Устройства и компьютерные программы

Наиболее востребованными средствами защиты информационных систем остаются устройства и программы для локальных и подключенных к сети интернет компьютеров. Самый высокий класс защиты предусматривает использование криптографических средств, в состав которых входят средства аутентификации, электронные цифровые подписи и разные виды ключей.

С помощью специальных средств пользователь может защитить важные для него данные от нелегального копирования.

Злоумышленники и разведчики имеют достаточно продвинутые способы хищения сведений: использование генератора шума, электромагнитных и магнитных излучений, экранирование мониторов, применение радиотехники и средств дистанционного захвата информации.

Для работы с компьютером понадобятся аппаратно-программные средства, которые будут вести записи всех совершенных действий с секретными данными информационных систем, что даст возможность на любом этапе отследить работу каждого сотрудника. Следует разделить доступ к важным сведениям среди работников, чтобы в руках одного человека не находился доступ ко всем возможным операциям с данными.

Необходимостью станет установка программы, обеспечивающей целостность файлов и блокирующей загрузку из чужеродного носителя, чтобы предотвратить возможность переноса информации на флэш-память или диск. Например, электронный замок сможет предоставить информацию о состоянии системных файлов и провести аутентификацию пользователя по его личному ключу, длиной в 16 символов.

Особенностью программы является блокировка загрузок.

Современными устройствами защиты информации считаются биометрические или дактилоскопические средства. Специальный сканер, установленный на компьютере, сканирует поверхность пальца, оцифровывает полученный результат и отсылает на сравнение с указанным отпечатком. Для наиболее удачного формирования комплекса защиты информационных систем необходимо на разных уровнях секретности использовать разные по функциональности аппаратно-программные средства.

Процесс лицензирования

Провести работы по защите информационных систем могут только те организации, которые получили на это разрешение (лицензию). Отдельный вид деятельности регистрируется за наличием на производстве необходимых условий на 3 года. В соответствии с правилами, в компании должен находиться инженерно-технический персонал, производственная база и документация. Вопросом выдачи лицензий занимаются государственные органы и созданные при них лицензионные центры. Защита информационных систем может проходить по таким видам деятельности (подлежат лицензированию):

  • Криптографические средства;
  • Обслуживание криптографической системы защиты;
  • Выявление электронных устройств незаконного хищения информации в помещениях;
  • Защита конфиденциальных сведений;
  • Услуги по шифрованию информации.

Ответственность за качество проделанной работы и сохранность секретных сведений несут предприятия-лицензиаты.

Соответствие нормам

Чтобы объект или техническое средство имели право на обработку секретных данных, они обязательно должны соответствовать определенным правилам и стандартам безопасности информационных систем. Объект должен пройти аттестацию и получить разрешение на определенный срок.

Под пристальное внимание попадет организационная структура и состав технических средств, программного обеспечения, пройдет проверку документация и уровни всей системы. Обычно проверяется правильность категорирования, уровень подготовки кадров и определяется соответствие выбранной системы защиты информации.

При этом все выбранные технические и программные средства должны иметь сертификат и успешно пройти испытания.

Кроме аттестации, продукция, используемая при создании системы защиты, должна пройти обязательную сертификацию на соответствие заявленным требованиям. Процесс подтверждения (сертификация) не является обязательным, но наличие документа повышает доверие к производителю. Если программные или технические средства используются в целях защиты государственной тайны, тогда этот пункт должен учитываться в обязательном порядке.

В документе к товару указывается класс защищенности (их всего 7). Для обычных граждан, работающих с конфиденциальными сведениями, будет достаточно внедрить 5-6 класс защищенности, который работает на принципе избирательного управления доступом. По мандатному принципу управления доступом работают более высокие 2-4 классы. Их используют для работы с государственной тайной. Самым защищенным считается 1-й класс (верифицированная защита).

Правильное категорирование информации открывает путь к построению правильной и эффективной системы защиты. Самым низким уровнем данных по секретности и по причиненным ущербам может быть конфиденциальная информация. Секретная информация разделяется на такие категории:

  • Личная – персональные данные или сведения о личной жизни гражданина;
  • Служебная – все, что связано с исполнением служебных обязанностей, но не являющееся государственной тайной;
  • Коммерческая – сведения, являющиеся коммерческой ценностью, не могут быть переданы конкурирующим организациям;
  • Судебно-следственная – тайна следствия и судопроизводства;
  • Профессиональная конфиденциальная – врачебная, адвокатская тайна;
  • Производственная – тайна изобретения или создания модели производства.

Высоким уровнем секретности обладает государственная тайна, которая имеет 3 степени: особо важная информация (военная, экономическая, научно-техническая с ущербом для всего государства в указанных областях), совершенно секретная (ущерб для одной или нескольких областей деятельности) и секретная информация (ущерб предприятию, учреждению или организации в одной из деятельностей). Тщательный анализ всей системы и создание прочной сертифицированной и лицензированной базы для защиты секретных данных позволит обезопасить предприятие или государство на самом высоком уровне.

Источник: https://camafon.ru/informatsionnaya-bezopasnost/sistema-zashhityi

Системы защиты информации

Что является выходами системы защиты информации?

Определение 1

Системой защиты информации называется комплекс технических и организационных мер, которые направлены на обеспечение информационной безопасности организации.

Замечание 1

Главным объектом защиты являются данные, обрабатываемые в автоматизированной системе управления, и задействованные при осуществлении рабочих процессов.

В лучшем случае система защиты информации может быть адекватна потенциальным угрозам. Поэтому перед планированием защиты, необходимо определить, кого и какая именно информация может заинтересовать, ее ценность, а также, на какие жертвы готов пойти злоумышленник для ее получения.

Система защиты информации: сущность, основные направления защиты и их технические средства

Система защиты информации должна быть комплексной, то есть применять не только технические, но также правовые и административные средства защиты. Система защиты характеризуется не только гибкостью, но и адаптацией к быстро меняющимся условиям окружающей среды. При этом главную роль играют административные мероприятия (например, регулярная смена паролей, строгий порядок их хранения, а также правильное распределение пользовательских полномочий и анализ журналов регистрации событий в системе).

Ничего непонятно?

Попробуй обратиться за помощью к преподавателям

Специалист, который отвечает за все вышеперечисленные действия, должен быть не только преданным работником, но и квалифицированным экспертом, как в сфере технических средств защиты, так и в сфере вычислительных средств в целом.

На сегодняшний день можно выделить множество направлений защиты информации и технических средств, которые им соответствуют:

  1. Защита информации от несанкционированного доступа тех ресурсов, которые работают автономно, а также от сетевых ПК. Данная функция может быть реализована программно-аппаратными, программными и аппаратными средствами.
  2. Защита отдельных пользователей сети Интернет и серверов от злонамеренных хакеров, что приникают извне. Для этого применяются специальные межсетевые брандмауэры или экраны, которые в современной жизни приобретают широкое распространение.
  3. Защита конфиденциальной, секретной и личной информации от чтении ее посторонними лицами, а также от ее искажения. Для этого используются криптографические средства, которые выделяются в отдельный класс. Сюда относится и подтверждение подлинности сообщений посредством электронной цифровой подписи. Использование криптографических систем с электронной подписью и открытыми ключами приобрело огромную популярность в сфере электронной торговли и в банковском деле.
  4. В последние годы широкое распространение получила защита программного обеспечения от незаконного копирования при помощи электронных ключей.
  5. Защита информации от возможной утечки посредством побочных каналов (цепи питания, каналы электромагнитного излучения от монитора или ПК). В данном случае используются такие испытанные средства, как специальный подбор мониторов, применение генератора шума и экранирование помещений, а также специальный подбор комплектующих ПК, которые обладают наименьшим излучением в том частотном диапазоне, что максимально удобен для дистанционного распознавания и расшифровки сигнала злоумышленниками.
  6. Защита информации от шпионских устройств, которые непосредственно устанавливаются в комплектующие персонального компьютера, так же, как и измерение зоны излучения, выполняемого спецслужбами, что обладают всеми необходимыми лицензиями.

Атакующая сторона своей главной целью ставит снижение в противоборствующей системе показателей достоверности, своевременности и безопасности информационного обмена до того уровня, который приводит к потере управления.

Требования, предъявляемые к системе защиты информации

К системе защиты информации, кроме общего концептуального требования, предъявляются целевые требования, которые разделяются на экономические, функциональные, техническое, эргономические и организационные.

Система защиты информации, которая сформирована на сегодняшний день, включает следующие общеметодологические принципы:

  • адекватность требованиям;
  • концептуальное единство;
  • адаптация к меняющимся условиям;
  • функциональная самостоятельность;
  • удобство применения;
  • минимизация прав;
  • адекватное реагирование;
  • полнота контроля и экономичность.

Полнота контроля подразумевает, что все процедуры по защите информации должны контролироваться в полном объеме системой защиты, причем ключевые результаты контроля фиксируются в специальных журналах регистрации.

Активность реагирования значит, что система защиты информации должна реагировать на любые несанкционированные действия. Характер реагирования может быть разным, но он обязан включать в себя:

  • задержку в исполнении запросов;
  • просьбу повторить действие;
  • отключение того структурного элемента, с которого было выполнено несанкционированное действие;
  • исключение из числа зарегистрированных пользователей нарушителя;
  • своевременная подача специального сигнала.

Под организационным построением необходимо понимать общую организацию системы, которая адекватно отражает концептуальные подходы к ее формированию. В современных АСОД в соответствии с изложенной концепцией защиты информации, организационное построение системы защиты информации представляется так, как изображено на схеме.

Рисунок 1. Требования, предъявляемые к системе защиты информации в АСОД. Автор24 — интернет-биржа студенческих работ

Организационно система защиты информации состоит из трех основных частей:

  • механизмы обеспечения защиты информации,
  • механизмы общей организации работы,
  • механизмы, которые управляют иными средствами защиты.

В механизмах по обеспечению защиты можно выделить два организационных компонента: переменные механизмы и постоянные механизмы. Под постоянными понимаются такие механизмы, которые в процессе создания системы защиты информации встраиваются в компоненты АСОД и находятся в рабочем состоянии на протяжении всего времени функционирования соответствующих компонентов. Переменными же называются механизмы, которые являются автономными, используются для решения задач по защите информации и предполагают предварительное выполнение операций ввода в состав применяемых механизмов.

В организационном построении системы защиты информации должны предусматриваться подсистемы защиты на объектах АСОД, а также управляющее звено, которое именуется ядром системы защиты.

Определение 2

Ядро системы защиты информации – это специальный компонент, который предназначен для объединения всех подсистем системы защиты в единую целостную систему обеспечения, организации и контроля ее функционирования.

Система защиты информации – это автоматизированная система, структурное построение которой определяется по аналогии со структурным построением АСОД.

Источник: https://spravochnick.ru/informacionnaya_bezopasnost/zaschita_informacii/sistemy_zaschity_informacii/