Методы информационной безопасности

Содержание

Классификация методов защиты информации

Методы информационной безопасности

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

  • Потеря информации вследствие повреждения носителей – жестких дисков;
  • Ошибки в работе программных средств;
  • Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

  • Препятствие;
  • Маскировка;
  • Регламентация;
  • Управление;
  • Принуждение;
  • Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

  • Физические;
  • Программные и аппаратные;
  • Организационные;
  • Законодательные;
  • Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна.

Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы.

Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки.

Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений.

При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения.

При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации.

Для создания личной заинтересованности персонала руководители используют разные виды поощрений.

К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида.

В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования.

Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу.

ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований.

Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

  • D – нулевой уровень безопасности;
  • С – системы с произвольным доступом;
  • В – системы с принудительным доступом;
  • А – системы с верифицируемой безопасностью.

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей.

Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля.

При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

  • Снабжение метками секретности всех ресурсов системы;
  • Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
  • Структурирование доверенной вычислительной базы на хорошо определенные модули;
  • Формальную политику безопасности;
  • Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем:

Источник: https://camafon.ru/informatsionnaya-bezopasnost/metodyi-zashhityi

Информационная безопасность. Основы и методы защиты информации

Методы информационной безопасности

С развитием средств информационных коммуникаций, а следовательно и возможности нанесения ущерба информации, которая хранится и передается с их помощью, возникла информационная безопасность (ИБ).

Основной задачей ИБ до 1816 года была защита разного рода информации, которая имеет для субъекта (организации или конкретного человека) особое значение.

Внедрение и использование возможностей радиосвязи выявило необходимость обеспечения защищенности радиосвязи от помех с помощью применения помехоустойчивого кодирования и декодирования сигнала. Позже появились радиолокационные и гидроакустические средства (1935 год), ИБ которых обеспечивалась через повышение защищенности радиолокационных средств от воздействия радиоэлектронных помех.

Начиная с 1946 года, с широким использованием в практической деятельности электронно-вычислительных машин (ЭВМ), ИБ достигалась, в основном, с помощью ограничения физического доступа к оборудованию, которое содержало или обрабатывало защищаемую информацию.

Ничего непонятно?

Попробуй обратиться за помощью к преподавателям

С 1965 года развивались локальные сети, информационная безопасность которых в основном достигалась путём администрирования и управления доступом к сетевым ресурсам.

С началом использования мобильных коммуникационных устройств угрозы информационной безопасности стали гораздо серьёзнее и сложнее.

Потребовалась разработка новых методов безопасности, так как для передачи и хранения информации широко использовались беспроводные сети передачи данных.

Появились хакеры – сообщества людей, целью которых было нанесение ущерба ИБ разного объема (от отдельных пользователей до целых стран). С тех пор обеспечение информационной безопасности становится важнейшей и обязательной составляющей безопасности страны.

С развитием глобальных сетей для решения задачи информационной безопасности должны решаться через создание макросистемы информационной безопасности всего человечества.Передача, обработка, хранение информации сегодня происходит исключительно с помощью информационных систем.

Глобальные сети позволяют решать огромный спектр задач области связи (например, через электронную почту, мобильные телефоны), развлечений (MP3, цифровое телевидение, игры), транспорта (двигатели, навигация), торговли (кредитные карты, интернет-магазины ), медицины (оборудование, архивы медицинских материалов) и т.д.

Замечание 1

Таким образом, задачи информационной безопасности состоят в защите информации методами обнаружения, предотвращения и реагирования на атаки.

Проблемы информационной безопасности

Информационная безопасность является одним из важнейших аспектов любого уровня безопасности – национального, отраслевого, корпоративного или персонального.

Основная проблема ИБ состоит в том, что она является составной частью информационных технологий.

Технологии программирования не позволяют создавать безошибочные программы, что не может обеспечить информационную безопасность. То есть существует необходимость создавать надежные системы ИБ с использованием ненадежных программ. Такая необходимость требует соблюдения архитектурных принципов и контроля защищенности при использовании ИС.

Также с развитием информационно-коммуникационных технологий, с постоянным использованием сетей значительно выросло количество атак.

Но это нельзя назвать самой большой проблемой информационной безопасности, так как гораздо значительнее проблемы, связанные с постоянным обнаружением новых уязвимых мест в программном обеспечении и, как следствие, появления новых видов атак.

Над уничтожением таких уязвимых мест трудятся разработчики абсолютно всех разновидностей операционных систем, поскольку новые ошибки начинают активно использоваться злоумышленниками.

Замечание 2

В таких случаях системы ИБ должны иметь средства противостояния разнообразным атакам.

Атаки могут длиться как доли секунды, так и несколько часов, медленно прощупывая уязвимые места (в таком случае вредоносная активность практически незаметна).

Действия злоумышленников могут быть нацелены на нарушение как отдельно взятых, так и всех составляющих ИБ – доступности, целостности и конфиденциальности.

Масштаб последствий нарушения работоспособности программного и технического обеспечения ИС можно представить по затратам на решение «Проблемы–2000». По одним оценкам экспертов общий объём мировых инвестиций, который был потрачен на подготовку к 2000 году, составил 300 млрд. долларов, по другим данным эта сумма завышена на порядок.

Методы защиты информации

Для обеспечения безопасности информации в ИС используются следующие методы:

  • препятствие;
  • управление доступом;
  • методы криптографии;
  • противодействие атакам вредоносных программ;
  • регламентация;
  • принуждение;
  • побуждение.

Рассмотрим каждый из них более подробно.

Определение 1

Препятствие – физическое преграждение пути к защищаемой информации (к техническому оборудованию, носителям информации и т.д.).

Управление доступом – методы защиты информации через регулирование использования ресурсов информационных технологий и информационной системы. Управление доступом должно препятствовать абсолютно всем возможным путям несанкционированного доступа к защищаемой информации.

Защита информации с помощью управления доступом происходит через:

  • идентификацию пользователей и персонала(присвоение персонального идентификатора);
  • опознание объекта по идентификатору;
  • проверку полномочий доступа к информации или объекту;
  • регистрацию обращений к информации;
  • реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Криптографические методы защиты – шифрование информации. Методы шифрования широко применяются при обработке и хранении информации. Особенно надежным данный метод является при передаче информации по сети.

Защиту от атак вредоносных программ призван обеспечить комплекс различных методов организационного характера и использование антивирусных программ, результатом чего является снижение вероятности заражения ИС, определение фактов инфицирования системы; снижение или предотвращение последствий информационных заражений, уничтожение вирусов; последующее восстановление информации.

Определение 2

Регламентация – ограничение времени работы, ограниченный доступ людей к информации, ограничение доступа по определенным дням, времени суток, часам и т.п. Создание таких условий работы с защищаемой информацией нормы и стандарты по защите будут выполняются в наибольшей степени.

Определение 3

Принуждение – метод защиты информации, при котором пользователи и персонал ИС соблюдают правила работы с защищаемой информацией под угрозой ответственности (материальной, административной или уголовной).

Определение 4

Побуждение – метод, который побуждает (за счет соблюдения уже сложившихся морально-этических норм) субъектов ИС не нарушать установленные порядки.

Технические средства защиты информации делятся на аппаратные и физические.

К аппаратным средствам относятся устройства, которые встраиваются непосредственно в техническое оборудование ИС или связываются с ним по стандартному интерфейсу.

К физическим средствам относят инженерные устройства и сооружения, которые препятствуют физическому проникновению на объекты защиты и осуществляют защиту персонала, материальных, информационных и других ценностей (например, решетки, замки, сейфы, сигнализация и т.п.).

Также широко используются программные средства, предназначенные для защиты информации в ИС. К ним относятся программы паролирования, антивирусные программы, программы ограничения доступа, программы шифрования (криптографии).

Организационные средства обеспечивают мероприятия, которые делают невозможными или затрудняют разглашение, утечку, несанкционированный доступ к информации на нормативно-правовой основе.

Законодательные средства защиты регламентируют правила работы с информацией и устанавливают порядок ответственности за их нарушение. Законодательные средства защиты определяются законодательными актами страны.

Морально-этические средства защиты включают нормы поведения, которые могут быть неписанными (например, честность) или оформленными в виде правил и предписаний. Как правило, они не утверждены законодательством, но считаются обязательными для исполнения. Примером таких правил может быть свод этических правил общения в сети и т.п.

Источник: https://spravochnick.ru/informacionnaya_bezopasnost/informacionnaya_bezopasnost_osnovy_i_metody_zaschity_informacii/

Методы обеспечения информационной безопасности | Методы обеспечения информационной безопасности Российской Федерации

Методы информационной безопасности

Известные на сегодня общие методы обеспечения информационной безопасности состоят из организационно-технических, экономических и правовых.

Организационно-технические методы информационной безопасности (ИБ) включают:

  • систему обеспечения информационной безопасности (под ней мы подразумеваем комплекс мероприятий (внутренние правила работы с данными, регламент передачи сведений, доступ к ним и т. д.) и технических средств (использование программ и приборов для сохранения конфиденциальности данных));
  • разработку (создание новых), эксплуатацию и усовершенствование уже имеющихся средств защиты информации;
  • перманентный контроль над действенностью принимаемых мер в области обеспечения информационной безопасности.

Последний пункт особенно важен. Без методики оценки очень трудно определить эффективность ИБ. Если эффективность падает, необходимо срочно вносить коррективы (для этого и нужна перманентность контроля).

Они тесно взаимосвязаны с правовыми методами информационной безопасности РФ.

Правовой фактор безопасности РФ состоит из:

  • лицензирования деятельности в части обеспечения информационной безопасности;
  • сертификации технических средств информационной защиты;
  • аттестации объектов информатизации согласно соответствию нормам информационной безопасности РФ.

Третья составляющая, экономическая, включает:

  • составление программ по обеспечению информационной безопасности РФ;
  • определение источников их финансового обеспечения;
  • разработку порядка финансирования;
  • создание механизма страхования информационных рисков.

Информационная безопасность – это всегда комплексная система, все составляющие которой призваны не допустить утечки конфиденциальных сведений по техническим каналам, а также воспрепятствовать стороннему доступу к носителям информации.

Все это, соответственно, гарантирует целостность данных при работе с ними: обработке, передаче и хранении, которые должны осуществляться обязательно в правовом поле.

Грамотно организованные технические мероприятия позволяют определить использование специальных электронных приспособлений несанкционированного снятия информации, размещенных как в помещении, так и в средствах связи.

В РФ существует несколько нормативных правовых документов, регламентирующих работу в информационной сфере: «Об утверждении Доктрины информационной безопасности РФ», «Об информации, информационных технологиях и о защите информации» и т. д. Одним из фундаментальных является Федеральный закон РФ «О коммерческой тайне».

К этому перечню стоит добавить Постановления Правительства РФ «О сертификации средств защиты информации», «О лицензировании деятельности по технической защите конфиденциальной информации», а также Приказ ФСБ «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации».

Расширенный перечень нормативно-правовых актов, которые регулируют работу с конфиденциальной информацией, можно посмотреть здесь. 

Что же касается экономической составляющей информационной безопасности, то ее основное правило – стоимость системы информационной безопасности не должна быть выше, чем стоимость защищаемых сведений. Кроме этого, необходимо защищать заранее определенную информацию, а не всю подряд (последнее нецелесообразно с экономической точки зрения).

Организационно-техническая составляющая информационной безопасности

Вначале определим объекты защиты. Ими являются:

  • речевая информация;
  • данные, передающиеся техническими средствами.

В защите нуждаются как основные техсредства и системы (ОТСС), задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы (ВТСС), а также заранее определенные помещения.

Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными.

Организационный метод обеспечения информационной безопасности имеет следующие составляющие:

  • создание режима охраны информации;
  • разработка правил взаимоотношений между сотрудниками;
  • регламентация работы с документами;
  • правила использования технических средств в рамках существующего правового поля РФ;
  • аналитическая работа по оценке угроз информационной безопасности.

Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи).

Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария.

Такая информационная безопасность зачастую состоит, например, в удалении ОТСС за периметр охраняемой территории на максимально возможное расстояние.

Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, относится к техническому методу обеспечения информационной защиты.

«СёрчИнформ КИБ» сочетается с SIEM-решениями. Комбинация продуктов усиливает защиту данных в компании.

Оба метода взаимодополняемы и называются организационно-техническими (например, проведение специальных проверок технических средств и помещений на предмет обнаружения сторонних устройств, предназначенных для фиксирования и передачи информации). Организационно-технические мероприятия в обязательном порядке должны соответствовать правовым методам обеспечения информационной безопасности, предписанным нормативными документами РФ.

Политика информационной безопасности разрабатывается с учетом существования множества подсистем, включая:

  • подсистему предоставления доступа;
  • подсистему регистрации и учета;
  • подсистему по обеспечению безопасности за счет использования шифров.

Главные правила успешной системы информационной безопасности:

  • перманентность действия установленных правил;
  • полнота принимаемых мер;
  • комплексность;
  • согласованность;
  • результативность.

Методы защиты речевой информации

Для обеспечения информационной защиты акустической информации рекомендуется компактно расположить защищаемые помещения, четко установить периметр охраняемой территории, регламентировать допуск работников на территорию, на которую распространяется информационная защита.

Информационная безопасность также состоит в том, чтобы регулярно обследовать помещения и установленные в них технические средства на предмет наличия приспособлений для несанкционированного съема информации. Для усиления информационной безопасности можно использовать вибро- и звукоизоляцию, экранирование, автономизацию ОТСС в границах охраняемой территории, а также временное отключение ОТСС.

Также используются активные и пассивные механизмы обеспечения речевой безопасности. К первым относятся генераторы, вырабатывающие различного рода шумы (виброакустический и электромагнитный, как низко-, так и высокочастотные). Ко вторым: вибро- и звукоизоляция; экранирующие устройства; звукопоглощающие фильтры в воздуховодах.

Методы защиты речевой информации, передающейся техническими средствами

Для обеспечения информационной защиты данных, хранящихся и передающихся техническими средствами, в РФ используют:

  • аутентификацию;
  • регламентирование доступа к объектам;
  • шифрующую систему файлов;
  • ключи;
  • безопасные соединения;
  • IPsec.

Остановимся на каждой из этих форм обеспечения информационной защиты подробнее.

С таким элементом информационной безопасности, как логин и пароль, сталкивались все пользователи операционных систем. Это и есть аутентификация. Она – самый распространенный способ обеспечения безопасности данных, включая информационные сообщения, хранящиеся на сервере или ПК.

Регламентирование доступа к объектам (папкам, файлам, хранящимся в системе) тоже может строиться на аутентификации, но зачастую используются и иные алгоритмы (участникам системы администратором определяются права и привилегии, согласно которым они могут либо знакомиться с какими-то объектами, либо, помимо знакомства, вносить в них изменения, а то и удалять).

Контролировать доступ к документам и действия с ними помогает Device Controller – коннектор «СёрчИнформ SIEM».

Шифрование файлов (еще одна составляющая информационной безопасности) осуществляется системой EFS при помощи ключа.

Если же говорить об обеспечении безопасного соединения, то для этого используются информационные каналы типа «клиент-клиент» или «клиент-сервер». В РФ такой метод информационной безопасности широко применяется в банковском секторе.

Ну и в заключение об IPsec. Это совокупность протоколов для обеспечения информационной защиты данных, передаваемых по протоколу IP.

На всех перечисленных способах и строится информационная безопасность на наиболее прогрессивных предприятиях России.

Источник: https://searchinform.ru/analitika-v-oblasti-ib/Issledovaniya-v-oblasti-ib/metody-obespecheniya-informatsionnoj-bezopasnosti/

Гост р 53114-2008 защита информации. обеспечение информационной…

Методы информационной безопасности

ГОСТ Р 53114-2008

Группа Т00

ОКС 35.020

Дата введения 2009-10-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ «О стандартизации в Российской Федерации».

Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты».

В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты».

Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, — светлым, а синонимы — курсивом.

Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Настоящий стандарт применяется совместно с ГОСТ 34.003, ГОСТ 19781, ГОСТ Р 22.0.

02, ГОСТ Р 51897, ГОСТ Р 50922, ГОСТ Р 51898, ГОСТ Р 52069.0, ГОСТ Р 51275, ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/ МЭК 27001, ГОСТ Р ИСО/МЭК 13335-1, [1], [2].

Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» [3], Федерального Закона Российской Федерации от 27 июля 2006 г.

N 149-ФЗ «Об информации, информационных технологиях и защите информации» [4], Федерального Закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» [5], Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр-1895 [6].

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения

ГОСТ Р 22.0.

02 Безопасность в чрезвычайных ситуациях. Термины и определения

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению

ГОСТ Р ИСО/МЭК 13335-1 Информационная технология.

Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р 50922 Защита информации.

Основные термины и определения

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51898 Аспекты безопасности. Правила включения в стандарты

ГОСТ Р 52069.0 Защита информации. Система стандартов.

Основные положения

Примечание — При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3.1 Общие понятия

3.1.1

безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.[ГОСТ Р 50922-2006, статья 2.4.5]

3.1.2

безопасность информационной технологии: Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации.[Р 50.1.056-2005]

3.1.3

информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.[Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр-1895]

3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

3.1.5

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.[ГОСТ Р 51275-2006, пункт 3.1]

3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.

Примечание — К активам организации могут относиться:

— информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.

) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);

— ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);

— процессы (технологические, информационные и пр.);

3.1.7

ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.Примечание — Основными ресурсами являются процессоры, области основной памяти, наборы данных, периферийные устройства, программы.[ГОСТ 19781-90, статьят 93]

3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.

3.1.9

3.1.10

техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.[ГОСТ Р 34.003-90*, статья 2.5]

_________________
* Вероятно ошибка оригинала. Следует читать ГОСТ 34.003-90. Здесь и далее. — Примечание изготовителя базы данных.

Источник: http://docs.cntd.ru/document/gost-r-53114-2008

Защита информации

Методы информационной безопасности

Анетта 01 июня 2015 21:30

Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Информационная безопасность

Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.

В сегодняшнем социуме сфера информации имеет две составные части:

  • информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
  • и информационно-психологическую (естественный мир живой природы, который включает и самого человека).

Модель информационной безопасности

В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:

  • конфиденциальность — представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
  • целостность — представляет собой избежание несанкционированных изменений информации;
  • доступность — представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.

Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:

  • апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
  • подотчетность – официальная регистрация данных;
  • достоверность — представляет собой свойство соответствия предусмотренным результатам или поведению;
  • аутентичность или подлинность — представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.

Составляющие информационной безопасности

Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:

  • Научная, нормативно-правовая и законодательная база.
  • Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
  • Режимные и организационно-технические методы защиты информации (политика безопасности информации).
  • Программные, а также технические средства защиты информации.

Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:

  • выявить требования к защите информации, специфические для этого объекта защиты;
  • принять во внимание требования международного и национального Законодательства;
  • использовать существующие практики (методологии, стандарты) построения подобных систем;
  • определить подразделения, которые ответственны за реализацию и поддержку системы;
  • распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
  • на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
  • исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
  • реализовать систему управления (менеджмента) безопасности информации (СМИБ);
  • применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.

Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.

Нормативные документы в сфере безопасности информации

В России к нормативно-правовым актам в сфере информационной безопасности причисляются:

1)      Федеральные законодательные акты:

  • Международные договоры России.
  • Конституция России.
  • Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
  • Указы Президента России.
  • Правительственные постановления Российской Федерации.
  • Правовые нормативные акты федеральных ведомств и министерств.
  • Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.

2) К нормативно-методическим документам возможно причислить:

  • Методические документы правительственных органов России:

а) Доктрина безопасности информации России.

б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.

в) Приказы Федеральной службы безопасности.

  • Стандарты безопасности информации, из которых можно выделить:

а) Международные стандарты.

б) Национальные (государственные) стандарты России.

в) Рекомендации по стандартизации.

г) Указания методические.

Органы (подразделения), которые обеспечивают информационную безопасность

Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:

  • Комитет Госдумы по безопасности.
  • Совет безопасности России.
  • ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
  • ФСБ (Федеральная служба безопасности) России.
  • ФСО (Федеральная служба охраны) РФ.
  • СВР (Служба внешней разведки) России.
  • Минобороны (Министерство обороны) РФ.
  • МВД (Министерство внутренних дел) России.
  • Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).

Организационная защита различных объектов информатизации

Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:

  • организацию режима, охраны, работу с документами, с кадрами;
  • применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.

К основным мероприятиям защиты информации можно причислить:

  • Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
  • Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
  • Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
  • Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
  • Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
  • Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.

Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.

Источник: https://utmagazine.ru/posts/9798-zaschita-informacii

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.