Что относится к защите информации
Технологии защиты информации в компании
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Что относится к защите информации
Статья 16. Защита информации
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Статья 16. Защита информации
Статья 16. Защита информации
ГАРАНТ:
См. комментарии к статье 16 настоящего Федерального закона
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации;
Информация об изменениях:
Федеральным законом от 21 июля 2014 г. N 242-ФЗ часть 4 статьи 16 настоящего Федерального закона дополнена пунктом 7, вступающим в силу с 1 сентября 2015 г.
7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
Способы защиты информации
ИБ-аутсорсинг
на базе DLP-системы
Д анные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.
Способы неправомерного доступа к информации
Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.
Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.
Методы защиты
На практике используют несколько групп методов защиты, в том числе:
Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.
Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.
Организационные средства защиты информации
Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.
Чаще всего специалисты по безопасности:
Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.
Что такое ИБ-аутсорсинг и как он работает? Читать.
Технические средства защиты информации
Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:
В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.
Аутентификация и идентификация
Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.
Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Защита информации в информационных системах
ИБ-аутсорсинг
на базе DLP-системы
Контроль исполнения документов
Мониторинг ИТ инфраструктуры
Защита бизнеса от мошенничества
Разработка требований к защите информации
Управление системами фильтрации электронной почты и веб-трафика
АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
П редприятие не может существовать без обеспечения собственной безопасности. В первую очередь речь идет о физической защите, к которой относят системы контроля доступа и видеонаблюдения, датчики и сигнализацию. Не менее важна и защита информационных систем от несанкционированного доступа.
Информационная система на примере виртуального здания
Информационная система (ИС) – это комплекс средств, используемых для хранения, обработки и выдачи информации. Современное понимание этого термина предполагает использование компьютера в качестве основного технического средства переработки данных.
ИС также можно представить в виде здания. Хотя оно и виртуальное, но также нуждается в защите. В качестве средств, обеспечивающих защиту, можно использовать те же устройства физической безопасности. Отличие заключается в том, что они должны быть разработаны с учетом IT-технологий.
Если вход в физическое помещение преграждает турникет или сотрудник охраны, в ИС для этого используются устройства аутентификации или межсетевой экран, контролирующие входящий трафик в ИС.
Подходы к информационной защите
При построении системы защиты информации выделяют два подхода: эпизодический и комплексный.
Первый подход подразумевает проведение защитных мероприятий при наличии определенных угроз. Например, обязательная антивирусная проверка флешки или использование криптографических систем шифрования.
При втором подходе различные защитные меры используют в комплексе, образуя контур безопасности системы.
Принципы создания базовой защиты информации
Формирование защиты в ИС основывается на:
Для создания надежной системы информационной безопасности особенно важны три аспекта:
Несанкционированное проникновение в информационные компьютерные системы может стать следствием недостаточного внимания к одному из этих аспектов.
Узнать сколько конфиденциальных данных хранится в файловой системе компании поможет «СёрчИнформ FileAuditor». Подробнее.
Защита компьютера от несанкционированного доступа
По статистике, несанкционированный доступ (НСД) – одна из наиболее серьезных угроз. Удачная попытка НСД позволяет злоумышленнику завладеть плохо защищенной информацией. Этому способствуют следующие факторы:
Для обеспечения конфиденциальности, необходимо обеспечить эффективную защиту информации на всех ПК в системе.
Основные защитные средства от несанкционированного доступа
Такие методы могут быть административными и техническими. Грамотные организационные меры вкупе с эффективными программными средствами позволяют создать надежный механизм защиты информации от злоумышленников.
Защиту информации можно обеспечить посредством внедрения архитектурно-планировочных решений, позволяющих защитить критичные помещения от прослушивания, и определения разных уровней доступа к секретным данным.
Чтобы регламентировать деятельность персонала, можно оформить запрос на доступ к Сети, внешней электронной почте и другим ресурсам. Это позволит контролировать действия внутренних пользователей. Защиту информации, передаваемой по электронным каналам, усиливает использование электронной цифровой подписи.
К административным средствам защиты информации также относят организацию:
Рабочие ПК предпочтительно размещать в надежно запираемых помещениях. В рабочее время за компьютерами должны наблюдать ответственные сотрудники, в частности, не оставлять ПК без парольной защиты, когда покидают рабочее место. При обработке конфиденциальной информации в офисе могут находиться только лица, допущенные к этому процессу.
Владелец ИС должен удостовериться в том, что у рядовых пользователей есть доступ только к тем ресурсам (массивам информационных данных), которые нужны им для работы.
Идентификация достоверно определяет легитимность всех обращений пользователей к ИС. Она проводится на этапе входа пользователя в ОС.
Для этого применяются следующие методы, обеспечивающие защиту информации:
Вход по учетной записи. Каждый зарегистрированной пользователь в системе, получает личный логин и пароль, которые обязан хранить в тайне и вводить при каждом обращении к ИС. Логин и пароль посредством специального ПО сравниваются с эталонами. Если вводные данные совпадают, пользователь получает доступ под защитой.
Очевидным достоинством этого способа является простота, недостатком – возможность утери или подбора логина и пароля. К тому же существует вероятность несанкционированного проникновения в область хранения эталонных паролей.
Вход по биометрическим данным. Биометрия считается одним из самых надежных методов защиты от НСД, но пока он не получил широкого распространения из-за необходимости специальной аппаратуры и соответствующего программного обеспечения, гарантирующего защиту.
Существуют, однако, и методы обхода биометрической защиты. Например, систему распознавания лиц, которая используется в смартфонах, журналист Forbes сумел обойти с помощью гипсового слепка головы.
Вход с применением радиокодовых устройств. Идентификация по радиокодовым устройствам предполагает использование механизмов, способных передавать радиосигналы с персональными свойствами. ПК оборудуется программно-аппаратными средствами приема, регистрации и обработки сигналов. Каждый пользователь получает такое приспособление, а его параметры заносятся в запоминающее устройство средств защиты.
Минус этого метода идентификации в том, что похищение такого механизма дает правонарушителю потенциальную возможность НСД.
Вход с использованием электронных носителей. В этом случае используются специальные карточки с данными, которые позволяют быстро идентифицировать сотрудника, вошедшего в офис или защищенный кабинет. Информация вносится на носитель в зашифрованном виде. Ключ кодирования известен только владельцу карточки либо сотруднику, который отвечает за обеспечение информационной безопасности в компании. Также возможно уничтожение ключа сразу после использования. ИС должна быть оснащена устройствами считывания информации с карточки. Этот способ часто находит применение в крупных территориально распределенных сетях, например, в автоматизированных банковских системах.
Уязвимость этого метода идентификации в том, что потеря карточки владельцем открывает доступ в помещения посторонним.
Технические устройства защиты
Такие устройства также называют формальными. Выделяют механические, аппаратные, криптографические и программные устройства.
К механическим относятся любые устройства, которые работают независимо от ИС, препятствуя доступу посторонних в здание или помещение. Это могут быть экраны, замки, жалюзи, видеорегистраторы, камеры и датчики.
Криптографические устройства основаны на использовании сложных алгоритмов для шифрования. Они обеспечивают безопасную организацию передачи информации по корпоративной сети и Интернету.
К аппаратным средствам защиты относят любые устройства, которые интегрируются в архитектуру ИС. Они ограничивают доступ к информационным данным, в том числе и посредством их маскировки. Аппаратными средствами являются устройства для генерации помех, сетевые фильтры, которые сканируют приемники радиосигналов, блокируют возможные каналы утечки информации или позволяют их выявить.
Использование криптографии для защиты ИС предполагает установку программно-аппаратного комплекса (средства шифрования, имитационная защита, электронная цифровая подпись, средства кодирования, средства изготовления ключевых документов).
Программно-аппаратный комплекс может включать устройства VPN, а также электронную цифровую подпись для защиты персональных данных и корпоративной информации.
Программно-аппаратные способы криптографической информационной защиты поддерживают аппаратные виды идентификации пользователей (USB-накопитель или смарт-карта), «классические» – логин и пароль, а также все современные алгоритмы шифрования (симметричные и асимметричные).
Чаще применяются два современных криптостойких алгоритма шифрования: российский стандарт ГОСТ 28147-89 и новый криптостандарт США – AES (Advanced Encryption Standard). Механизмы шифрования защищают файлы, папки с файлами, любые носители, серверы в целом и системные хранилища информации.
Средства криптографической защиты информации (СКЗИ) обладают значительным набором опций по созданию защищенного документооборота на базе электронной цифровой подписи (ЭЦП).
Некоторые элементы национальных криптографических систем запрещено экспортировать за границы государства, а разработка СКЗИ нуждается в лицензировании.
К программным защитным устройствам относится простое и комплексное ПО, которое позволяет решать задачи, связанные с обеспечением защиты информации в ИС. Например, к комплексным средствам относятся SIEM- и DLP-системы.
Аббревиатура SIEM (Security information and event management) переводится как «управление событиями и информационной безопасностью». SIEM-система позволяет проводить мониторинг состояния IT-инфраструктуры в реальном времени и анализировать события безопасности (программные сбои, подключение несанкционированного оборудования, открытые порты). SIEM-системы, как правило, используются в комплексе с другими средствами информационной защиты. Например, с DLP-системами, которые позволяют более детально расследовать инциденты в корпоративной сети.
DLP-системы (Data Leak Prevention) предотвращают утечки данных, контролируя различные каналы передачи информации. Современные DLP включают сложные алгоритмы анализа информационных потоков компании и помогают прогнозировать риски, связанные с персоналом.
Важно учитывать, что программные инструменты нуждаются в мощных аппаратных устройствах. Поэтому перед их установкой в компании требуется предусмотреть наличие дополнительных резервов.
Таким образом, обеспечение безопасности информационных материалов – это целый комплекс мероприятий, не единовременная мера, а непрерывный процесс. Разработка системы защиты должна проводиться одновременно с проектированием защищаемой системы.