Принципы защиты информации можно разделить на правовые и

Обновлено: 30.06.2024

Развитие новых информационных технологий и всеобщая компьютеризация привели к тому, что информационная безопасность становится обязательной. Существует довольно обширный класс систем обработки информации, при разработке которых фактор безопасности играет первостепенную роль (например, банковские информационные системы)

Оглавление

ВВЕДЕНИЕ………………………………………………………………..…………3
ГЛАВА 1 Понятие и сущность защиты информации…….……..………………. 4
ГЛАВА 2 Методы защиты информации ………………….……………………….8
ГЛАВА 3 Принципы защиты информации………………….…………….……. 16
ЗАКЛЮЧЕНИЕ……………………………………………………………………..19
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

Файлы: 1 файл

Методы и принципы защиты информации.doc

6. Страхование как метод защиты информации.

Технические (программные) методы защиты информации в отличие от правовых и административных, призваны максимально избавиться от человеческого фактора. Действительно, соблюдение законодательных мер обуславливается только добропорядочностью и страхом перед наказанием. За соблюдением административных мер следят люди, которых можно обмануть, подкупить или запугать. Таким образом, можно избежать точного исполнения установленных правил. А в случае применения технических средств зашиты перед потенциальным противником ставится некоторая техническая (математическая, физическая) задача, которую ему необходимо решить для получения доступа к информации. В то же время легитимному пользователю должен быть доступен более простой путь, позволяющий работать с предоставленной в его распоряжение информацией без решения сложных задач [24, с. 182]. То есть техническими называются такие средства защиты информации, в которых основная защитная функция реализуется техническим устройством (комплексом или системой).

Среди современных технических методов защиты информации можно выделить следующие:

· криптографическая защита различной степени конфиденциальности при передаче информации;

· управление информационными потоками, как в локальной сети, так и при передаче каналами связи на различные расстояния;

· применение механизмов учета попыток доступа извне, событий в информационной системе и печатаемых документов;

· обеспечение целостности программного обеспечения и информации;

· внедрение средств восстановления современной защиты информации;

· осуществление физической охраны и учета техники и магнитных носителей;

· создание специальных служб информационной безопасности.

Криптографические методы защиты информации подразумевают применение шифрования и кодирования для сокрытия обрабатываемой и передаваемой информации от несанкционированного доступа [11, с. 16].

Криптография – одна из старейших наук, ее история насчитывает несколько тысяч лет. Изначально криптография изучала методы шифрования информации – обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и (или) ключа в шифрованный текст (шифротекст). Традиционная криптография образует раздел симметричных криптосистем , в которых зашифрование и расшифрование проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы , системы электронной цифровой подписи , управление ключами , получение скрытой информации , квантовую криптографию [6, с. 91].

Электронная цифровая подпись – последовательность символов, являющаяся реквизитом электронного документа и предназначенная для подтверждения его целостности и подлинности [18, п. 12 ст. 1].

Стеганография – это совокупность методов, основывающихся на различных принципах, которые обеспечивают сокрытие самого факта существования секретной информации в той или иной среде, а также средств реализации этих методов [9, с. 309].

В последнее время развивается метод компьютерной стеганографии – самостоятельного научного направления информационной безопасности, изучающего проблемы создания компонентов скрываемой информации в открытой информационной среде, которая может быть сформирована вычислительными системами и сетями [23, с. 211].

Подводя итог, следует подчеркнуть, что в настоящее время средства и системы, предназначенные для защиты информации и подтверждения ее подлинности при передаче по каналам связи и, в первую очередь, криптографические устройства, производятся множеством фирм, оказывающих соответствующие услуги по защите информации. Для защиты конфиденциальной информации, передаваемой по каналам связи, могут использоваться скремблеры и шифраторы. Ряд фирм выпускает криптографические устройства, ориентированные на работу в сетях. Основой многих современных систем охраны помещений и защиты от несанкционированного доступа к информации служат электронные идентификационные устройства. Идентификатор может быть встроен в брелок, визитную карточку, пропуск. В зависимости от варианта применения автоматический идентификатор может использоваться с различными дополнительными устройствами: электронными замками, компьютерами.
Наличие в идентификаторе изменяемой памяти позволяет использовать его для широкого класса приложений, например, для хранения личных, периодически изменяемых ключей шифрования пользователя; для хранения информации о состоянии личного счета пользователя для расчетных систем; для хранения информации о разрешенном времени прохода в пропускных системах. Использование идентификатора вместе с электронными замками дает широкие возможности по управлению доступом пользователей в режимные помещения: централизованное оперативное слежение за проходом в помещения, дистанционное управление допуском, гибкое установление правил допуска в помещения (например, по определенным дням и часам).

Так же следует отметить, что одновременное применение нескольких из перечисленных мер и методов порождает комплексный метод защиты информации. Комплексный метод защиты информации подразумевает использование нескольких методов защиты одновременно и в совокупности. Это повышает эффективность проводимых мероприятий по обеспечению безопасности информации.

Принципы защиты информации

Под принципами защиты информации понимаются основные идеи и важнейшие рекомендации по вопросам организации и осуществлению работ для эффективной защиты конфиденциальной информации [9, с. 10].

Данные принципы вырабатывались на протяжении длительной практики в организации работ по защите информации. Использование данных принципов позволяет эффективно организовать работу системы безопасности, а пренебрежение ими негативно сказывается на сохранении защищаемой информации.

Принципы защиты информации можно условно разделить на три следующих группы:

· принципы, реализуемые при защите информации от технических средств.

Правовые принципы защиты данных.

Правовое регулирование защиты информации опирается на принципы информационного права. Данные принципы, базирующиеся на положениях основных конституционных норм, закрепляют информационные права и свободы, а так же гарантируют их осуществление. Кроме того, основные правовые принципы защиты информации основываются на особенностях и юридических свойствах информации как полноценного объекта правоотношений [5, с. 305].

Классификация правовых принципов защиты информации:

Данный принцип означает обязанность всех субъектов общественных отношений правильно и беспрекословно придерживаться всех нормативных правовых актов, а также обеспечивать верховенство и единство закона, равенство всех перед законом и судом.

· приоритет международного права над внутригосударственным;

В соответствии с данным принципом в случае, если нормами международного права предусмотрены иные меры, чем предусмотренные национальным законодательством, применению будут подлежать нормы международного права.

· собственность и экономическая целесообразность.

Организационные принципы защиты данных.

Роль организационной защиты информации в системе мер безопасности определяется своевременностью и правильностью принимаемых руководством управленческих решений, при учете имеющихся в распоряжении средств, способов и методов защиты информации, также на основе действующих нормативно-методических документов.

Организационные методы защиты предполагают проведение организационно-технических и организационно-правовых мероприятий, а так же включают в себя следующие принципы защиты информации:

· научный подход к организации защиты информации;

· системный и комплексный подход к организации защиты информации;

· ограничение числа допускаемых лиц к защищаемой информации;

· личная ответственность персонала за сохранность доверенной информации;

· единство мнений в решении производственных, коммерческих и финансовых вопросов;

· непрерывность процесса защиты информации.

Принципы защиты информации от технических средств:

· активная защита информации;

Данный принцип предусматривает целенаправленное навязывание ложных представлений об объекте и его устремлениях, соответственно замыслу защиты.

· убедительная защита информации;

Это принцип, состоящий в оправданности замысла и мер защиты условиям и обстановке. Соответствует характеру защищаемого объекта, а также свойствам окружающей среды, позволяющих применение технических средств защиты в подходящих климатических, сезонных и других условиях.

· непрерывность процесса защиты информации;

Данный принцип предполагает организацию защиты объектов на всех стадиях жизненного цикла разработки и эксплуатации.

· разнообразие средств защиты информации.

В соответствии с данным принципом предусмотрено исключение шаблонов на этапе выбора объектов прикрытия и разнообразных путей реализации защиты, не исключая применение типовых решений [8, с. 168].

Говоря о принципах защиты информации, нельзя не отметить принципы правового регулирования информационных отношений в целом. К таким принципам относятся:

· свобода поиска, получения, передачи, сбора, обработки, накопления, хранения, распространения и (или) предоставления информации, а также пользования информацией;

· установление ограничений распространения и (или) предоставления информации только законодательными актами Республики Беларусь; своевременности предоставления, объективности, полноты и достоверности информации;

Успешная организация обеспечения на предприятии секретности и конфиденциальности определённого объема данных невозможна без тщательного изучения теоретических основ информационной безопасности и защиты этой информации от несанкционированного доступа и использования.

.Одной из таких основ являются принципы, в которых выражаются ключевые идеи и основные советы по построению и применению системы защиты информации. Данные принципы так же являются одним из важнейших источников создания нормативно-правовой базы по данному вопросу, как в самой организации, так и на государственном уровне.

Основанием выработки и определения данных принципов послужила многолетняя практика осуществления мероприятий по защите информации как в нашей стране, так и на международной арене.

Нормативно-правовая база, в которой заложены рассматриваемые принципы, в основном касается защиты государственной тайны, но все же, использование данных принципов общеприменимо. Знание и умение применить данные принципы обуславливает построение квалифицированной системы защиты информации в любой организации, и отказ от них приведет к отрицательным последствиям для информационной безопасности на предприятии.

Принципы защиты информации подразделяются на:

принципы, применяемые при защите от технических средств разведки.

Правовые принципы можно назвать базисом системы информационной безопасности, потому что использование остальных принципов необходимо непременно согласовывать с нормативно-правовыми нормами.

Ниже перечислим основные правовые принципы защиты информации.

Во-первых, это принцип законности. Он заключается в том, что деятельность всех государственных и частных организаций, должностных и частных лиц должна совершаться в рамках и в соответствии с действующим законодательством. Принцип законности следует из Конституции РФ.

Данный принцип для сферы защиты информации заключается в разработке и применении нормативно-правового регулирования. Необходимо законодательное определение и закрепление прав и обязанностей субъектов отношений в сфере защиты информации, в том числе на засекречивание и защиту конфиденциальной информации. Даны понятия государственной, коммерческой и другим видам тайн, установлены виды ответственности за нарушение режима их секретности.

Принцип законности предполагает необходимость наделить правами по защите и обязанностями по соблюдению установленного режима доверенной им секретной информации должностных лиц, которым в силу их профессиональной деятельности она становится доступна.

Во-вторых – принцип приоритета международного права над действующим в самом государстве. Начнем с того, что Российская Федерация на Венской встрече взяла на себя обязательство согласовать законодательство внутри страны с положениями международных соглашений, конвенций и т.д., участником которых она является. Так же наша страна является членом мирового экономического сообщества, членом МВФ и ряда других международных экономических организаций. В дальнейшем эта норма конкретизировалась, и были введены отдельные ограничения. Тем не менее, принцип приоритета международного права над действующим в государстве и сегодня означает, что засекречиванию не подлежит информация, которую Россия обнародует или передает в соответствии с действующими соглашениями и конвенциями, например, о состоянии национальной экономики. Тем не менее, наше государство, в силу своего суверенитета, может засекречивать сведения, защита которых обеспечивает национальную безопасность.

Третий правовой принцип защиты информации – это принцип собственности. В законодательной области, регулирующей отношения собственности и имущественную сферу, можно выделить группу законодательных актов, регламентирующих защиту интеллектуальной собственности с помощью авторского и патентных прав, коммерческой тайны и ряда других правовых механизмов. Согласно нормам данного законодательства, только у владельца информации есть право засекречивать информацию, определять степень этой секретности и состав самих засекречиваемых сведений, или же он может воспользоваться защитой, получив патент.

Так же правовым принципом является принцип экономической целесообразности. Определение степени секретности сведений, закрепленное в нормативно-правовых актах, должно сопоставляться с величиной ущерба, который может составить разглашение этих сведений. Так же, при определении мер защиты, нужно оценивать целесообразность этих мер. Стоимость обеспечения секретности информации не должна превышать величины ущерба от ее потери [1].

Далее перейдем к рассмотрению организационных принципов. Они отражают основные правила и подходы к защите информации. Организационная защита информации состоит из:

организации работы с персоналом;

организации внутриобъектового, пропускного режимов и охраны;

разграничения доступа, как физического, так и программного;

организации работ непосредственно с носителями засекреченных сведений;

комплексного планирования мероприятий по защите информации;

организации аналитической работы и контроля [3].

Для эффективного осуществления организационной защиты информации необходимо соблюдать следующие принципы.

Принцип комплексного подхода. Он состоит в том, чтобы рационально использовать средства, методы и способы защиты для решения поставленных задач по предупреждению и предотвращению утечки, учитывая сложившуюся ситуацию при присутствии тех или иных факторов. Комплексный принцип защиты информации предусматривает как поиск и анализ возможных каналов утечки информации, принимая во внимание количество и значимость этой информации и содержащие ее носители, так и изучение и анализ возможностей злоумышленников в целом или относительно конкретного случая.

Принцип оперативности принятия управленческих решений. Данный принцип оказывает значительное влияние на продуктивность функционирования и гибкость системы защиты информации. Так же в нем находит отражение устремленность руководства и сотрудников организации на решение задач обеспечения защиты информации [3].

Принцип персональной ответственности состоит в наиболее эффективном распределении задач по защите информации между работниками и назначении персональной ответственности за качество их выполнения. Каждый сотрудник должен осознавать, что обеспечение секретности доверенных ему конфиденциальных сведений входит в перечень, прежде всего, его интересов. Если сотрудник не будет этого ощущать, то у него сложится формальное отношение к данному вопросу, обеспеченное лишь страхом наказания. Так же важную роль в успешном применении этого принципа играет обучение персонала правилам обращения с конфиденциальной информацией и ее защиты.

Принцип единства в решении производственных, коммерческих, финансовых, режимных и д.р. вопросов. Данный принцип является одним из аспектов комплексного подхода, и заключается в том, что при принятии управленческих решений по обеспечению секретности информации, следует учитывать все сферы деятельности организации.

Определим наиболее важные условия, которые необходимо соблюдать при построении системы защиты информации:

непрерывность всестороннего анализа функционирования системы защиты информации, что способствует принятию актуальных мер и повышению эффективности защиты. Защита конфиденциальной информации должна осуществляться с момента ее создания (получения) на всех этапах ее существования, вплоть до уничтожения или рассекречивания;

безусловное соблюдение руководством и сотрудниками организации установленных норм и правил защиты информации.

Соблюдение вышеперечисленных условий определяет наиболее рациональное и эффективное решение задач по защите секретной информации.

Третьей группой принципов защиты секретной информации являются принципы, применяемые при защите от технических средств разведки (ТСР).Кроме вышеуказанных правовых и организационных принципов, которые также применяются при построении защиты от ТСР, существует ряд специфических принципов, вызванных особенностями предмета защиты. А именно, носителей, на которых содержится информация, защита которой осуществляется, применяемых при этом средствах и методах. Предусматривается так же совершение попыток добычи злоумышленником секретных сведений с использованием ТСР.

Перечислим основные принципы обеспечения защиты информации, при организации противодействия техническим средствам разведки:

активность защиты информации – предусматривает в соответствии с планом защиты целенаправленное навязывание технической разведке злоумышленника ложных данных и сведений об объекте, на который направлена разведка;

убедительность защиты информации – представляет собой оправданность замысла защиты условиям сложившейся обстановки, характеру и особенностям объекта, на который направлена защита, свойствам окружающей среды в применении технических средств защиты, которые соответствуют сложившимся условиям;

непрерывность защиты информации – означает функционирование системы защиты на всех стадиях жизненного цикла существования объекта: предпроектной, проектной, в стадии разработки, изготовления, испытания, эксплуатации и уничтожения;

разнообразие защиты информации — предусматривает исключение шаблона, повторяемости в выборе объекта прикрытия и путей реализации смысла защиты, в том числе с применением типовых решений [1].

Так же актуальным принципом, по нашему мнению является принцип избыточности элементов системы. Под этим понимается введение дополнительных компонентов поверх того минимума, который необходим для выполнения заданных функций. Это позволяет системе устойчиво функционировать при дестабилизирующем воздействии внешних и внутренних факторов.

Довольно широко применяемым на практике является принцип резервирования элементов системы. Резервируются обычно не все элементы системы защиты информации, а особо важных компьютерных подсистем, чтобы в случае возникновения каких-то чрезвычайных обстоятельств, их можно было использовать для решения стоящих перед системой задач.

Не менее важно проводить защитные преобразования данных. Они заключаются в приведении к неявному виду составных частей информации с применением специальных алгоритмов и/или аппаратных средств.

И наконец, при функционировании системы защиты конфиденциальной информации, построенной с учетом всех приведенных принципов, следует на постоянной основе производить контроль над состоянием элементов системы, их работоспособности и правильности функционирования.

Соблюдая положения выработанных принципов защиты информации, на всех уровнях системы, можно построить наиболее эффективную и устойчивую систему защиты секретной и конфиденциальной информации в любой организации.

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

1. Нельзя собирать и распространять информацию о жизни человека без его согласия.
2. Все информационные технологии равнозначны — нельзя обязать компанию использовать какие-то конкретные технологии для создания информационной системы.
3. Есть информация, к которой нельзя ограничивать доступ, например сведения о состоянии окружающей среды.
4. Некоторую информацию распространять запрещено, например ту, которая пропагандирует насилие или нетерпимость.
5. Тот, кто хранит информацию, обязан ее защищать, например, предотвращать доступ к ней третьих лиц.
6. У государства есть реестр запрещенных сайтов. Роскомнадзор может вносить туда сайты, на которых хранится информация, запрещенная к распространению на территории РФ.
7. Владелец заблокированного сайта может удалить незаконную информацию и сообщить об этом в Роскомнадзор — тогда его сайт разблокируют.

Ключевые моменты закона:

1. Перед сбором и обработкой персональных данных нужно спрашивать согласие их владельца.
2. Для защиты информации закон обязывает собирать персональные данные только с конкретной целью.
3. Если вы собираете персональные данные, то обязаны держать их в секрете и защищать от посторонних.
4. Если владелец персональных данных потребует их удалить, вы обязаны сразу же это сделать.
5. Если вы работаете с персональными данными, то обязаны хранить и обрабатывать их в базах на территории Российской Федерации. При этом данные можно передавать за границу при соблюдении определенных условий, прописанных в законе — жесткого запрета на трансграничную передачу данных нет.

Серверы облачной платформы VK Cloud Solutions (бывш. MCS) находятся на территории РФ и соответствуют всем требованиям 152-ФЗ. В публичном облаке VKможно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK.

При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

1. Обладатель информации сам решает, является она коммерческой тайной или нет. Для этого он составляет документ — перечень информации, составляющей коммерческую тайну.
2. Некоторые сведения нельзя причислять к коммерческой тайне, например, информацию об учредителе фирмы или численности работников.
3. Государство может затребовать у компании коммерческую тайну по веской причине, например, если есть подозрение, что компания нарушает закон. Компания обязана предоставить эту информацию.
4. Компания обязана защищать свою коммерческую тайну и вести учет лиц, которым доступна эта информация.
5. Если кто-то разглашает коммерческую тайну, его можно уволить, назначить штраф или привлечь к уголовной ответственности.

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

1. Для создания электронной подписи можно использовать любые программы и технические средства, которые обеспечивают надежность подписи. Вы не обязаны использовать для этого какое-то конкретное государственное ПО.
2. Подписи бывают простые, усиленные неквалифицированные и усиленные квалифицированные. У них разные технические особенности, разные сферы применения и разный юридический вес. Самые надежные — усиленные квалифицированные подписи, они полностью аналогичны физической подписи на документе.
3. Те, кто работает с квалифицированной подписью, обязаны держать в тайне ключ подписи.
4. Выдавать электронные подписи и сертификаты, подтверждающие их действительность, может только специальный удостоверяющий центр.

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

Информация и ее классификация

Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.

Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

1. Свободно распространяемую
2. Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
3. Которая в соответствии с федеральными законами подлежит предоставлению или распространению
4. Распространение, которой в Российской Федерации ограничивается или запрещается

1. Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
2. Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
3. Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
4. Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.

1. Сведения в военной области.
2. Сведения в области экономики, науки и техники.
3. Сведения в области внешней политики и экономики.
4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

Персональные данные

Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).

Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.

Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.

Основные носители информации:

• Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• Документы всех типов: личные, служебные, государственные;
• Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• Электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Классификация средств защиты информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• Соблюдение конфиденциальности информации ограниченного доступа;
• Реализацию права на доступ к информации.

• Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• Своевременное обнаружение фактов несанкционированного доступа к информации;
• Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• Постоянный контроль за обеспечением уровня защищенности информации;
• Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).

1. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
   Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
2. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
   Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
   Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
3. Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Средства защиты информации

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.

Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.

Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.

В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.

Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.

Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.

Примером комплексных решений служат DLP-системы и SIEM-системы.

Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.

Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.

Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.

В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.

Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.

Рисунок 2. Классификация средства защиты информации.

Читайте также:

  
• Как исправить платежное поручение в 1с
  
• Какой признак государства является главным устойчивым закономерным определяющим все остальные признаки
  
• При каких условиях участие граждан в политической жизни страны наиболее эффективно
  
• Существует мнение что большевики получили власть в стране незаконно т е узурпировали ее
  
• В обмен на что итальянские купцы предоставили крестоносцам свои корабли во время 4 крестового похода