Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Основные объекты обеспечения информационной безопасности
Защита данных
с помощью DLP-системы
В России в области обеспечения информационной безопасности действует Доктрина, представляющая совокупность официальных взглядов на ситуацию с угрозами информационной безопасности в современном мире в целом и отдельные законы и подзаконные нормативные акты, которые концентрируются на конкретных аспектах общей системы. Изучая существующие меры безопасности, необходимо понимать, не только от каких угроз необходимо защищаться, но и кто или что подлежит защите. В зависимости от нормативного акта, объекты, требующие обеспечения информационной безопасности, могут несущественно различаться.
Система информационной безопасности
Доктрина информационной безопасности РФ, утвержденная Указом президента в 2016 году, призвана минимизировать или исключить вред, причиненный интересам личности, общества и государства угрозами, существующими в информационном поле, как технологическими, так и идеологическими. Органы государственного управления ставят своей целью не только обеспечение информационной безопасности государства в части обороны, внутренней и внешней политики, но и заботу о защите от посягательств на интересы граждан и бизнеса.
Виды угроз
Разработчики документа не ранжируют угрозы в зависимости от того, направлены они против личности или против порядка государственного управления, а просто называют их. Национальные интересы являются приоритетными, но при этом доктрина уделяет существенное внимание и защите интересов личности, гражданского общества, бизнеса. Среди основных можно назвать угрозы:
Кроме того, технологическая слабость страны, невысокое качество или отсутствие национальных разработок в области информационной безопасности, зависимость от систем связи или коммуникаций, управляемых на международном уровне, являются самостоятельными угрозами. При направлении усилий стратегическим противником в эту сторону целью может стать и бизнес, который потеряет возможность управлять своими промышленными объектами или проводить платежи в случае отключения сети Интернет.
Сферы защиты
Опасность направленного информационного воздействия на объекты защиты, по мнению разработчиков доктрины, связана не только с возможностью повлиять на объекты инфраструктуры или системы платежей, взломать сайт государственной организации или вмешаться через Сеть в работу систем жизнеобеспечения города или всего государства. Существенная опасность связана с информационным воздействием на нематериальные ценности, такие как имидж России на международной арене, суверенитет, понятие о нерушимости государственной целостности, общие понятия о нравственности. Нацеленное информационное воздействие на эти сферы способно подорвать внутреннюю стабильность, привести к беспорядкам.
Обеспечение информационной безопасности нематериальных объектов касается не только государства. Касательно гражданина или бизнеса риски могут возникнуть в части вовлечения детей в деструктивные культы, организации погромов торговых точек, протестов против строительства значимых для экономики объектов. При этом субъектами информационного влияния на сознание граждан, не подготовленных к защите против направленного воздействия, становятся экстремистские, религиозные, этнические, правозащитные организации. Государственная концепция разъяснения гражданам принципов информационной безопасности, умения разделять истинные новости и специально сгенерированные в деструктивных целях фейки, пока не разработана.
В концепции обеспечения информационной безопасности выделяются следующие сферы защиты:
Интересно, что изложенные в Доктрине постулаты в области обеспечения информационной безопасности России не полностью коррелируют с теми, которые изложены в принятой чуть позже Стратегии национальной безопасности, также рассматривающей вопросы защиты от информационных угроз. Однако в целом направления защиты по сферам и объектам совпадают.
Объекты-лица
Концепция обеспечения информационной безопасности, называет основные сферы общественной и политической жизни, в которых возможно причинение ущерба действиями внутренних агентов или правительствами иностранных государств, международными террористическими организациями. Документ предполагает, что ущерб наносится законным правам, свободам или интересам тех или иных субъектов. Конкретные субъекты в доктрине прямо не названы, использовано общее упоминание личности, общества и государства, но на практике выделяются следующие лица и организации, чьим интересам может быть причинен вред направленным информационным воздействием и которые подлежат защите:
Степень вреда, причиненного интересам субъектов, может разниться, но направленная информационная атака способна обвалить курс акций на несколько миллиардов, и сорвать выборы в муниципальном образовании. Степень защиты в каждом случае будет разной, но осознание существенности информационных угроз помогает обезопасить от них государство и общество. Проблемой может стать то, что оппонировать угрозам приходится только в информационном поле, противопоставляя свои аргументы и возражения чужим, выявляя некорректные сведения или затрудняя распространение ложной информации.
Объекты – предметы и явления
Помимо лиц, информационные атаки могут быть направлены на определенные объекты и явления. Здесь обеспечение информационной безопасности будет достигнуто легче, так как оптимальная защита может достигаться не только информационным противодействием, но и объективно реализованной системой технических мер. В качестве материальных объектов называются:
В области защиты этих объектов государство устанавливает стандарты технологического и программного оснащения, которое должно исключить возможность любого несанкционированного вмешательства, нарушения их независимости и целостности. Закон отдельно называет объекты критической информационной инфраструктуры, относительно которых установлен особый режим защиты и определены специальные средства защиты информации. Им присваивается категория защищенности, такие объекты вносятся в государственный реестр. При определении категории учитывается политическая, экономическая и экологическая значимость.
Обеспечение информационной безопасности различных объектов является совместной задачей государственных органов, бизнеса и граждан. Заинтересованность каждого в обеспечении собственной защиты важна для функционирования общей системы.
Что может являться объектом защиты информации
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Protection of information. Basic terms and definitions
Дата введения 2008-02-01
Сведения о стандарте
1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
Введение
Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.
Для каждого понятия установлен один стандартизованный термин.
Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в квадратные скобки, означает ссылку на документ, приведенный в структурном элементе «Библиография».
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.
Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.
Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.
Термины и определения общетехнических понятий, которые необходимы для понимания текста основной части настоящего стандарта, приведены в приложении А.
1 Область применения
Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.
Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.
2 Термины и определения
2.1.1 защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
2.2 Термины, относящиеся к видам защиты информации
2.2.1 правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.
2.2.2 техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
2.2.3 криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.
2.2.4 физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.
2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.
2.3 Термины, относящиеся к способам защиты информации
2.3.1 способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.
2.3.2 защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.
2.3.3 защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
2.3.4 защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
2.3.5 защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
2.3.6 защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
2.3.7 защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
2.3.8 защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.
2.4 Термины, относящиеся к замыслу защиты информации
2.4.1 замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.
2.4.2 цель защиты информации: Заранее намеченный результат защиты информации.
2.4.3 система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
2.4.4 политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
2.4.5 безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.
2.5 Термины, относящиеся к объекту защиты информации
2.5.1 объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.
2.5.2 защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
2.5.3 носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
2.5.4 защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
2.5.5 защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
2.6 Термины, относящиеся к угрозам безопасности информации
2.6.1 угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
2.6.2 фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
2.6.3 источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.
2.6.4 уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.
1 Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.
2 Если уязвимость соответствует угрозе, то существует риск.
2.6.5 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.
2.6.6 несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
2.6.7 преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.
2.6.8 модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
2.7 Термины, относящиеся к технике защиты информации
2.7.1 техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.
2.7.3 средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.
2.7.4 средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.
Объекты критической инфраструктуры организации и обеспечение их безопасности
Обеспечение информационной безопасности (ИБ) — одна из ключевых мер по поддержанию стабильной работы компаний и промышленных предприятий, государственных органов и общественных организаций, функционирования экономики и государства в целом. Учитывая ее все возрастающее значение, ИБ регламентируется на уровне федерального законодательства и по праву считается одним из элементов национальной безопасности. Основным законодательным актом в этой сфере является федеральный закон № 187-ФЗ.
Критические объекты ИБ: что это?
В законе, помимо прочего, дается определение критической информационной инфраструктуре. К информационной инфраструктуре в целом относятся информационные системы и сети телекоммуникации, АСУ и линии связи, которые обеспечивают их взаимодействие.
Для отнесения объекта информационной безопасности к «критической инфраструктуре» он должен использоваться государственным органом или учреждением, российской компанией или организацией в следующих отраслях:
Также к критическим объектам защиты в области информационной безопасности причисляют системы, которые обеспечивают взаимодействие вышеперечисленных организаций и компаний. Важно, что они тоже должны принадлежать российским компаниям или предпринимателям.
Основные объекты защиты при обеспечении информационной безопасности
Информационная безопасность направлена на обеспечение защиты от внешних и внутренних угроз целого комплекса объектов. От их типа зависит подбор методов и средств защиты.
Существует множество объектов защиты. Их можно разбить на следующие основные категории:
Рассмотрим подробнее, что относится к каждой из этих категорий основных объектов защиты при обеспечении информационной безопасности.
Информация
К числу основных объектов, нуждающихся в защите, относится непосредственно информация, которая хранится, обрабатывается и передается в информационных и телекоммуникационных системах. В зависимости от формы представления она может быть таких видов:
Защите подлежит информация с ограниченным доступом, которая делится на сведения, составляющие государственную тайну и конфиденциальная информация. Отнесение информации к гостайне и порядок использование таких сведений регламентируются законодательством. К конфиденциальной информации относят персональные данные, коммерческую и профессиональную тайну, сведения об изобретениях и т. д.
Ресурсные объекты
К ресурсным объектам защиты в области информационной безопасности относятся технические, программные средства, организационные процедуры, которые применяются для обработки, хранения и передачи информации.
В том числе к таким объектам относятся:
Физические объекты
К этой категории относится широкий перечень объектов, составляющих основные фонды предприятий, организаций и учреждений, в том числе:
Главным критерием отнесения этих объектов к числу подлежащих информационной защите является задействованность в процессах хранения, передачи, обработки данных. Например, сюда относятся здания и помещения, в которых физически размещены информационные системы, помещения для ведения конфиденциальных переговоров и т. д.
Пользовательские объекты
К пользовательским объектам защиты от угроз информационной безопасности относятся:
В качестве объектов защиты выступают граждане, организации и предприятия, государственные учреждения и органы, а также непосредственно государство.
Сферы защиты
В соответствии с действующей в России Доктриной информационной безопасности выделяются следующие сферы защиты:
Обеспечение эффективной информационной безопасности в этих сферах направлено на поддержание полноценной деятельности государства и государственных органов, нацелено на защиту интересов системообразующих организаций и предприятий, а также других компаний. Кроме того, информационная безопасность во включенных в доктрину сферах защиты, предотвращает внешнее и внутреннее деструктивное воздействие на сознание граждан.
Средства защиты информации
Средства защиты информации обычно делят на нормативные и технические. Обе группы — сборные, в них входит множество конкретных инструментов, методик, подходов, применяемых для защиты данных.
Нормативные средства защиты
В категорию нормативных включают законодательные, административно-организационные и морально-этические средства (документы, правила, мероприятия и т. п.).
Технические средства защиты
Технические средства защиты можно разделить на физические, аппаратные, программные и криптографические.
Обеспечение информационной безопасности — это всегда комплекс мер, включающий все аспекты защиты информации, от внутреннего регламента по аутентификации до шлюзов безопасности. К созданию и обеспечению работоспособности таких комплексов нужно подходить серьезно и кропотливо. И главное — соблюдайте «золотое правило» — это комплексный подход.
Вместо заключения
Нужно признать, что мы уже живем в цифровом мире и будущее, каким его видели фантасты, действительно наступило. Производство стремительно автоматизируется, компьютеры управляют электростанциями и заводскими конвейерами, личные данные миллионов людей курсируют по сети, камеры научились распознавать лица в толпе, а на улицах вот-вот появятся автомобили без водителей.
Современная цифровая инфраструктура, огромная и невероятно сложная, связывающая самые разные стороны жизни, требует особенно тщательной защиты. Хакер в нашем мире перестал быть хулиганом, который рисует на стенах в подъезде — ему вполне по силам обрушить весь дом и оставить жильцов без крыши над головой. Информационная безопасность теперь не менее (а возможно и более) важна, чем экономическая, военная или любая другая.