Программно-технические способы и средства обеспечения информационной безопасности
Организационно-технические и режимные меры и методы
Органы (подразделения), обеспечивающие информационную безопасность
Нормативные документы в области информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства:
· Международные договоры РФ;
o Конституция РФ;
o Законы федерального уровня (включая федеральные конституционные законы, кодексы);
o Указы Президента РФ;
o Постановления правительства РФ;
o Нормативные правовые акты федеральных министерств и ведомств;
o Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.
К нормативно-методическим документам можно отнести
· Методические документы государственных органов России:
o Доктрина информационной безопасности РФ;
o Руководящие документы ФСТЭК (Гостехкомиссии России);
o Приказы ФСБ;
· Стандарты информационной безопасности, из которых выделяют:
o Международные стандарты;
o Государственные (национальные) стандарты РФ;
o Рекомендации по стандартизации;
o Методические указания.
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
· Комитет Государственной думы по безопасности;
· Совет безопасности России;
· Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
· Федеральная служба безопасности Российской Федерации (ФСБ России);
· Федеральная служба охраны Российской Федерации (ФСО России);
· Служба внешней разведки Российской Федерации (СВР России);
· Министерство обороны Российской Федерации (Минобороны России);
· Министерство внутренних дел Российской Федерации (МВД России);
· Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
· Служба экономической безопасности;
· Служба безопасности персонала (Режимный отдел);
· Отдел кадров;
· Служба информационной безопасности.
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[11]:
· Защита объектов информационной системы;
· Защита процессов, процедур и программ обработки информации;
· Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы;
· Подавление побочных электромагнитных излучений;
· Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
1. Определение информационных и технических ресурсов, подлежащих защите;
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
В литературе предлагается следующая классификация средств защиты информации.
· Средства защиты от несанкционированного доступа (НСД):
o Средства авторизации;
o Мандатное управление доступом;
o Избирательное управление доступом;
o Управление доступом на основе ролей;
o Журналирование (так же называется Аудит).
· Системы анализа и моделирования информационных потоков (CASE-системы).
· Системы мониторинга сетей:
o Системы обнаружения и предотвращения вторжений (IDS/IPS).
o Системы предотвращения утечек конфиденциальной информации (DLP-системы).
· Анализаторы протоколов.
· Антивирусные средства.
· Межсетевые экраны.
· Криптографические средства:
o Шифрование;
o Цифровая подпись.
· Системы резервного копирования.
· Системы бесперебойного питания:
o Источники бесперебойного питания;
o Резервирование нагрузки;
o Генераторы напряжения.
· Системы аутентификации:
o Пароль;
o Ключ доступа (физический или электронный);
o Сертификат;
o Биометрия.
· Средства предотвращения взлома корпусов и краж оборудования.
· Средства контроля доступа в помещения.
· Инструментальные средства анализа систем защиты:
o Мониторинговый программный продукт.
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
· организацию охраны, режима, работу с кадрами, с документами;
· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям можно отнести:
· организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
· организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
· организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;
· организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
· организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
· организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
