цуацуцпу. 1. Понятие информационной безопасности. Базовые принципы обеспечения информационной безопасности. 2
Скачать 33.85 Kb.
|
Оглавление1.Понятие информационной безопасности. Базовые принципы обеспечения информационной безопасности. 2 2.Информационная безопасность в информационном обществе. 2 3.Основы политики государства в области организации обеспечения информационной безопасности. 2 4.Организационная основа системы обеспечения информационной безопасности в Российской Федерации. 3 5.Функции и структура государственной системы обеспечения информационной безопасности в Российской Федерации. 3 6. Законодательная база организационной зашиты информации в Российской Федерации 4 7.Основные принципы и условия организационной защиты информации. 4 8.Основные подходы и требования к организации системы защиты информации. 5 9. Организационно-правовая защита информации в организации (на предприятии). 6 10. Стандарты в области информационной безопасности. 8 Понятие информационной безопасности. Базовые принципы обеспечения информационной безопасности. Информационная безопасность - защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. Указанные свойства информации и определяют три базовых принципа, которые должна обеспечивать информационная безопасность: Целостность данных – защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных Конфиденциальность информации Доступность информации для авторизованных пользователей Информационная безопасность в информационном обществе. Под информационной безопасностью следует понимать такое состояние общества (социальной системы), при котором оно способно противостоять дестабилизирующему воздействию негативных информационных факторов, а также систему мер, направленных на достижение указанного состояния. В результате информационной революции создается принципиально новый тип общества, со своими законами и принципами функционирования, а также рисками и угрозами. Этот тип общества, получивший название «информационное общество», характеризуется нарушением линейности, преемственности, стабильности и предсказуемости общественного развития, что принципиально отличает его от всех предшествующих типов общества, существовавших в истории нашей цивилизации. Данное общество, созданное господством информации и ее тотальным влиянием на сознание и поведение индивидов, обладает высочайшим потенциалом научного и технологического развития, но в то же время содержит в себе столь же высокий потенциал угрозы для безопасности общества. Основы политики государства в области организации обеспечения информационной безопасности. Государственная политика обеспечения информационной безопасности России базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере. Она определяет основные направления деятельности федеральных органов государственной власти и органов государственной власти субъектов РФ в области обеспечения информационной безопасности, порядок закрепления их обязанностей по защите интересов РФ в информационной сфере в пределах установленной компетенции. В основу государственной политики обеспечения информационной безопасности положены следующие принципы: соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права при осуществлении деятельности по обеспечению информационной безопасности; открытость в реализации функций федеральных органов государственной власти, органов государственной власти субъектов РФ и общественных объединений, предусматривающая информирование общества об их деятельности, с учетом установленных законодательством РФ ограничений; правовое равенство всех участников процесса информационного взаимодействия; приоритетное развитие отечественных современных информационных и телекоммуникационных технологий, производство технических и программных средств, способных обеспечить совершенствование национальных телекоммуникационных сетей, их подключение к глобальным информационным сетям в целях соблюдения жизненно важных интересов России. Приоритетным направлением государственной политики в области обеспечения информационной безопасности является совершенствование правовых механизмов регулирования общественных отношений, складывающихся в информационной сфере. Организационная основа системы обеспечения информационной безопасности в Российской Федерации. Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны и предназначена для реализации государственной политики в информационной сфере. В соответствии с Доктриной информационной безопасности Российской Федерации организационную основу системы обеспечения информационной безопасности Российской Федерации составляют: Президент, Совет Федерации, Государственная Дума, Правительство, Совет Безопасности, федеральные органы исполнительной власти, межведомственные и государственные комиссии, органы исполнительной власти, органы местного самоуправления, органы судебной власти, общественные объединения, а также граждане, принимающие в соответствии с законодательством участие в решении задач информационной безопасности. Функции и структура государственной системы обеспечения информационной безопасности в Российской Федерации. Основным органом, координирующим действия государственных структур по вопросам защиты информации, является Межведомственная комиссия по защите государственной тайны, созданная Указом Президента РФ № 1108 от 8.11.1995 г. Она действует в рамках Государственной системы защиты информации от утечки по техническим каналам, положение о которой введено в действие постановлением Правительства РФ от 15.09.1993 г. №912-51. В этом постановлении определены структура, задачи и функции, а также организация работ по защите информации применительно к сведениям, составляющим государственную тайну. Основной задачей Государственной системы защиты информации является проведение единой технической политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности страны. Президент РФ, Совет безопасности, Государственная дума, Межведомственная комиссия по защите государственной тайны, ФСТЭК, ФСБ, СВР и др. Общая организация и координация работ в стране по защите информации, обрабатываемой техническими средствами, осуществляется Федеральная служба по техническому и экспортному контролю (ФСТЭК России). ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по следующим вопросам в области обеспечения информационной безопасности: 1) обеспечению безопасности информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере; 2) противодействию иностранным техническим разведкам на территории РФ; 3) обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращению ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ; 4) защите информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств. Законодательная база организационной зашиты информации в Российской Федерации Законодательная база в сфере информационной безопасности включает пакет Федеральных законов, Указов Президента РФ, постановлений Правительства РФ, межведомственных руководящих документов и стандартов. Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности. Основные принципы и условия организационной защиты информации. Основными принципами организационной защиты информации являются следующие принципы: принцип комплексного подхода к решению задач защиты информации; принцип оперативности принятия управленческих решений; принцип персональной ответственности. Среди основных условий организационной защиты информации можно выделить следующие: непрерывность всестороннего анализа состояния системы защиты информации с целью принятия своевременных мер по повышению ее эффективности; неукоснительное соблюдение должностными лицами и сотрудниками структурных подразделений предприятия установленных норм и правил защиты конфиденциальной информации. Основные подходы и требования к организации системы защиты информации. Один из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия с учетом устремленности конкурирующих организаций к овладению конфиденциальной информацией и, тем самым, нанесению ущерба предприятию. Важным элементом анализа является работа по определению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа к ним различных категорий сотрудников (работников других предприятий). Работу по проведению такого анализа непосредственно возглавляет руководитель предприятия и его заместители по направлениям деятельности. Изучение защищенности информационных ресурсов основывается на положительном и отрицательном опыте работы предприятия, накопленном в течение последних нескольких лет, а также на деловых связях и контактах предприятия с организациями, осуществляющими аналогичные виды деятельности. При создании системы защиты информации, в первую очередь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого внимания. Предпочтение также отдается новым, перспективным направлениям деятельности предприятия, которые связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а также развивающимся международным связям. В соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные силы, средства, способы и методы ее защиты. К организации системы защиты информации с позиции системного подхода выдвигается ряд требований, определяющих ее целостность, стройность и эффективность. Система защиты информации должна быть: - централизованной — обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц, отвечающих за различные направления деятельности предприятия; - плановой — объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед предприятием задач в области защиты информации; - конкретной и целенаправленной — рассчитанной на защиту абсолютно конкретных информационных ресурсов, представляющих интерес для конкурирующих организаций; - активной — обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации усилий на наиболее важных направлениях деятельности предприятия; - надежной и универсальной — охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией. Организационно-правовая защита информации в организации (на предприятии). Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах. Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг. На базовом уровне аудита необходимо выяснить: доступны ли компьютеры кому-то, кроме сотрудников определенного подразделения, реализована ли пропускная система с использованием электронных пропусков и фиксацией времени нахождения сотрудника в помещении; существует ли возможность подключения к рабочим станциям съемных носителей информации, физическая возможность копирования данных на съемные устройства; какое программное обеспечение установлено на рабочих станциях информационной системы, лицензировано ли оно, регулярно ли выполняются обновления, известно ли о недостатках установленного программного обеспечения, облегчающих доступ к данным извне; как ведется настройка операционной системы, используются ли штатные ресурсы обеспечения информационной безопасности предприятий, антивирусы, брандмауэры, журналы учета действий пользователя, разграничение доступа; как реализована система разграничения прав доступа, применяется ли принцип предоставления минимально возможных прав, кто и как вносит изменения в права доступа; как реализована система аутентификации и идентификации, применяется ли двухфакторная модель, существует ли ответственность за передачу логинов и паролей другим сотрудникам; как реализована система паролей, как часто они меняются, как реагирует система на неоднократный ввод неверного пароля; принят ли необходимый пакет организационно-распорядительной документации, касающейся информационной безопасности. Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение. Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания: действует на высококонкурентном рынке; участвует в разработке научных или информационных технологий; обрабатывает большие объемы персональных данных. В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив: наличие уязвимостей системы для внешних проникновений при помощи платных и бесплатных программ – сканеров уязвимостей; отсутствие или наличие обработки информации с высокой степенью конфиденциальности в отдельных кластерах информационной системы, установлены ли сетевые экраны на границах зон; используются ли протоколы защищенной связи при передаче информации от сотрудников, находящихся на удаленном доступе; как осуществляется запись действий пользователей с объектами, содержащими конфиденциальную информацию; реализован ли дифференцированный доступ к данным, какой способ применяется, существует ли многоуровневая система доступа. Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить: насколько скрупулезно реализуются требования закона «О персональных данных»; внедрены ли предусмотренные законом и рекомендациями ФСТЭК РФ организационные меры; используется ли необходимое сертифицированное программное обеспечение. Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз. Этапы внедрения системы безопасности Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности. Работу необходимо проводить по следующему алгоритму: описание всех инфраструктурных и программных объектов в архитектуре информационной сети, выявление их ключевых характеристик; разработка требований к оптимальной конфигурации информационной системы с учетом временных, человеческих и бюджетных ограничений; разработка пакета организационно-распорядительной документации, ознакомление с ней сотрудников, обучение их основам информационной безопасности; внедрение технических и программных мер, призванных исключить возникновение инцидентов информационной безопасности и сделать более эффективной реакцию на них. Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия. Организационные меры Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы: общеобязательного характера; защищающие персональные данные; защищающие отдельные информационные объекты или процессы. В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер. Стандарты в области информационной безопасности. Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются: - повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений; - обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг); - содействие соблюдению требований технических регламентов; - создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации. Основными областями стандартизации информационной безопасности являются: аудит информационной безопасности модели информационной безопасности методы и механизмы обеспечения информационной безопасности криптография безопасность межсетевых взаимодействий управление информационной безопасностью. Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения». |