Известные на сегодняшний день общие методы обеспечения информационной безопасности состоят из организационно-технических, экономических и правовых.
Организационно-технические методы информационной безопасности (ИБ) включают:
• систему обеспечения информационной безопасности (под ней мы подразумеваем комплекс мероприятий (внутренние правила работы с данными, регламент передачи сведений, доступ к ним и т. д.) и технических средств (использование программ и приборов для сохранения конфиденциальности данных));
• разработку (создание новых), эксплуатацию и усовершенствование уже имеющихся средств защиты информации;
• перманентный контроль над действенностью принимаемых мер в области обеспечения информационной безопасности.
Последний пункт особенно важен. Без методики оценки очень трудно определить эффективность ИБ. Если эффективность падает, необходимо срочно вносить коррективы (для этого и нужна перманентность контроля).
Они тесно взаимосвязаны с правовыми методами информационной безопасности РФ. Правовой фактор безопасности РФ состоит из:
• лицензирования деятельности в части обеспечения информационной безопасности;
• сертификации технических средств информационной защиты;
• аттестации объектов информатизации согласно соответствию нормам информационной безопасности РФ.
Третья составляющая, экономическая, включает:
• составление программ по обеспечению информационной безопасности РФ;
• определение источников их финансового обеспечения;
• разработку порядка финансирования;
• создание механизма страхования информационных рисков.
Информационная безопасность – это всегда комплексная система, все составляющие которой призваны не допустить утечки конфиденциальных сведений по техническим каналам, а также воспрепятствовать стороннему доступу к носителям информации. Все это, соответственно, гарантирует целостность данных при работе с ними: обработке, передаче и хранении, которые должны осуществляться обязательно в правовом поле. Грамотно организованные технические мероприятия позволяют определить использование специальных электронных приспособлений несанкционированного снятия информации, размещенных как в помещении, так и в средствах связи.
В РФ существует несколько нормативных правовых документов, регламентирующих работу в информационной сфере: «Об утверждении Доктрины информационной безопасности РФ», «Об информации, информационных технологиях и о защите информации» и т. д. Одним из фундаментальных является Федеральный закон РФ «О коммерческой тайне».
К этому перечню стоит добавить Постановления Правительства РФ «О сертификации средств защиты информации», «О лицензировании деятельности по технической защите конфиденциальной информации», а также Приказ ФСБ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».
Что же касается экономической составляющей информационной безопасности, то ее основное правило – стоимость системы информационной безопасности не должна быть выше, чем стоимость защищаемых сведений. Кроме этого, необходимо защищать заранее определенную информацию, а не всю подряд (последнее нецелесообразно с экономической точки зрения).
Вначале определим объекты защиты. Ими являются:
• речевая информация;
• данные, передающиеся техническими средствами.
В защите нуждаются как основные техсредства и системы (ОТСС), задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы (ВТСС), а также заранее определенные помещения.
Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными.
Организационный метод обеспечения информационной безопасности имеет следующие составляющие:
• создание режима охраны информации;
• разработка правил взаимоотношений между сотрудниками;
• регламентация работы с документами;
• правила использования технических средств в рамках существующего правового поля РФ;
• аналитическая работа по оценке угроз информационной безопасности.
Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи). Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария. Такая информационная безопасность зачастую состоит, например, в удалении ОТСС за периметр охраняемой территории на максимально возможное расстояние.
Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, уже относится к техническому методу обеспечения информационной защиты.
Оба метода взаимодополняемы и называются организационно-техническими (например, проведение специальных проверок технических средств и помещений на предмет обнаружения сторонних устройств, предназначенных для фиксирования и передачи информации). Организационно-технические мероприятия в обязательном порядке должны соответствовать правовым методам обеспечения информационной безопасности, предписанным нормативными документами РФ.
Политика информационной безопасности разрабатывается с учетом существования множества подсистем, включая:
• подсистему предоставления доступа;
• подсистему регистрации и учета;
• подсистему по обеспечению безопасности за счет использования шифров.
Главные правила успешной системы информационной безопасности:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
• перманентность действия установленных правил;
• полнота принимаемых мер;
• комплексность;
• согласованность;
• результативность.
Для обеспечения информационной защиты акустической информации рекомендуется компактно расположить защищаемые помещения, четко установить периметр охраняемой территории, регламентировать допуск работников на территорию, на которую распространяется информационная защита. Информационная безопасность также состоит в том, чтобы регулярно обследовать помещения и установленные в них технические средства на предмет наличия приспособлений для несанкционированного съема информации.
Для усиления информационной безопасности можно использовать вибро- и звукоизоляцию, экранирование, автономизацию ОТСС в границах охраняемой территории, а также временное отключение ОТСС.
Также используются активные и пассивные механизмы обеспечения речевой безопасности.
К первым относятся генераторы, вырабатывающие различного рода шумы (виброакустический и электромагнитный, как низко-, так и высокочастотные). Ко вторым: вибро- и звукоизоляция; экранирующие устройства; звукопоглощающие фильтры в воздуховодах.
Для обеспечения информационной защиты данных, хранящихся и передающихся техническими средствами, в РФ используют:
• аутентификацию;
• регламентирование доступа к объектам;
• шифрующую систему файлов;
• ключи;
• безопасные соединения;
• IPsec.
Остановимся на каждой из этих форм обеспечения информационной защиты подробнее.
С таким элементом информационной безопасности, как логин и пароль, сталкивались все пользователи операционных систем. Это и есть аутентификация. Она – самый распространенный способ обеспечения безопасности данных, включая информационные сообщения, хранящиеся на сервере или ПК.
Регламентирование доступа к объектам (папкам, файлам, хранящимся в системе) тоже может строиться на аутентификации, но зачастую используются и иные алгоритмы (участникам системы администратором определяются права и привилегии, согласно которым они могут либо знакомиться с какими-то объектами, либо, помимо знакомства, вносить в них изменения, а то и удалять).
Шифрование файлов (еще одна составляющая информационной безопасности) осуществляется системой EFS при помощи ключа.
Если же говорить об обеспечении безопасного соединения, то для этого используются информационные каналы типа «клиент-клиент» или «клиент-сервер». В РФ такой метод информационной безопасности широко применяется в банковском секторе.
Ну и в заключение об IPsec. Это совокупность протоколов для обеспечения информационной защиты данных, передаваемых по протоколу IP.
На всех перечисленных способах и строится информационная безопасность на наиболее прогрессивных предприятиях России.
Ничего не пишите и не используйте калькулятор, и помните - вы должны отвечать быстро. Возьмите 1000. Прибавьте 40. Прибавьте еще тысячу. Прибавьте 30. Еще 1000. Плюс 20. Плюс 1000. И плюс 10. Что получилось? Ответ 5000? Опять неверно.
Статью подготовил категорийный менеджер по работе с ключевыми клиентами Умберг Эмиль Дмитриевич. 
