Выделяется несколько уровней информационной безопасности: законодательный, административный, процедурный, программно-технический. О каждом расскажем подробнее.
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 30 мая 2015 года; проверки требует 61 правка.
Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.
При профессиональной деятельности разных компаний, государственных учреждений, формируются массивы данных, которые нуждаются в защите. Меры информационной безопасности, которые принимаются для защиты информации, находятся в зависимости от нормативно-правовых требований, а также утвержденной внутри конкретной организации концепции противодействия киберугрозам.
В зависимости от значимости данных и их конфиденциальности выделяют несколько классов защиты информации, которые структурируют хранение и обработку в индивидуальных и коммерческих целях. Внедрение классификации особенно актуально при распределении ответственности специалистов в рамках организации бизнес-процессов. Классы информационной безопасности утверждены на международном уровне, но допускают американские и европейские стандарты, а также требования Гостехкомиссии при президенте России к защите данных.
Основные меры безопасности
К наиболее важным мерам обеспечения информационной безопасности также принято относить:
Организационно-технические и режимные меры и методы
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.
Программно-технический уровень
В соответствии с актуальными трендами, в рамках ИС необходимо обеспечение доступности нескольких основных механизмов безопасности:
Угрозы и меры противодействия
Физические меры обеспечения информационной безопасности базируются на использовании всевозможных электронных, электронно-механических, механических устройств и конструкций, основное предназначение которых – формирование действенных физических препятствий на вероятных путях проникновения и получения доступа потенциальными нарушителями к компонентам информационной системы и защищаемым данным.
К физическим мерам информационной безопасности также можно отнести средства визуального наблюдения, связи, охранной сигнализации.
Нормативные документы в области информационной безопасности
Акты федерального законодательства:
Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.
К нормативно-методическим документам можно отнести
Технологические
К этой разновидности мер информационной безопасности можно отнести различные технологические приемы, решения, которые базируются на применении избыточности (информационной, структурной, временной, функциональной и т. д.). Технологические меры направлены на то, что снизить вероятность совершения работниками организации ошибок в рамках полномочий и прав, которые им предоставлены.
Например: повторный ввод ответственных данных, инициализация ответственных операций при наличии разрешения вышестоящих сотрудников, процедуры проверки соответствия реквизитов входящих и исходящих сообщений и т. д.
Объём (реализация) понятия «информационная безопасность»
Ниже в данном разделе подробно будет рассмотрена каждая из составляющих информационной безопасности.
Целью реализации информационной безопасности какого-либо объекта является построение системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо::
Как видно из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Так СОИБ корректируется для эффективного выполнения задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.
Административный
Обеспечением административного уровня кибербезопасности занимается руководство конкретной компании и ее профильные департаменты. Главный документ в этой сфере – политика безопасности, состоящая из решений по управлению, необходимых для защиты данных, техсредств, которые с ней ассоциированы. С помощью подобной документации происходит установление стратегии в сфере кибербезопасности, количества техсредств, программных продуктов, финансирования, которые необходимо выделять в этом направлении единовременно и систематически.
Построение политики безопасности ведется на базе проведенного анализа рисков, признанными специалистами актуальными для ИС конкретной компании. Проанализировав риски и разработав стратегию защиты, разрабатывается программа, позволяющая организовать систему информбезопасности в компании.
При разработке политики безопасности нельзя использовать стандартизированные подходы – для каждой компании она должна быть уникальной. Например, категорически нельзя переносить базу системы информационной безопасности с госструктур на коммерческие объекты, и наоборот.
Типизация средств защиты автоматизированных систем
Предупреждение несанкционированного доступа утверждено аналогичным документом, который определяет классификацию в зависимости от вовлеченности пользователей в контроль и обработку данных. Здесь выделяют три уровня с различными требованиями конфиденциальности:
Типизация межсетевых экранов
Большую значимость степень защиты информации получает, когда пользователь использует интернет для получения, обработки или обмена данными. Также конфиденциальность актуальна и в том случае, если интернет подключают на том устройстве, где хранится значимая информация. В этом случае говорят о межсетевом экране – методике защиты от потенциальных угроз за счет фильтрации информации в случае использования подключения к интернету. Часто межсетевые экраны объединяют функции внутренней и внешней защиты.
Классы защиты
Государственные стандарты РФ выделяют 6 классов защищенности, которые распределяют личное, коммерческое, промышленное и государственное использование данных. При этом первые три характеризуют информацию, относящуюся к государственной тайне. Четвертый и пятый описывают защиту данных первого и второго уровня соответственно, а шестой объединяет третий и четвертый уровень защиты информации.
Типы межсетевых экранов
В зависимости от механики защиты сетевого трафика среди межсетевых экранов выделяют фильтрующие маршрутизаторы, шлюзы сеансового уровня и приложений. Одновременно межсетевые экраны разделяют на аппаратные и программные, однако все они разделены на пять типов с соответствующими буквенными обозначениями. Так, например, тип А характеризует аппаратные межсетевые экраны для физического оборудования при его установке для выхода в интернет. При этом тип Г обрабатывает протоколы трафика с помощью программного обеспечения.
Типизация защиты средств доверенной загрузки
Доверенные варианты старта работы устройства повышают защищенность информации на нем за счет комплексной проверки источника информации. При этом механизм идентификации может стартовать по инициативе пользователя или встроенного алгоритма устройства BIOS. По этой модели, к примеру, происходит установка программного обеспечения с использованием внешнего носителя – флешки или диска. Дифференциация таких средств защиты зависит от необходимости подключения к интернету во время идентификации данных.
Устройства доверенной загрузки также разделяют на шесть категорий в зависимости от необходимой конфиденциальности данных. Первые три класса относят к использованию в рамках систем обработки государственной информации. Четвертый класс подходит для 1–3 уровня конфиденциальности информации. При характеристике пятого класса следует ориентироваться на степень угроз и необходимость подключения к интернету и внедрять для 3 и 4 уровня защиты данных. Шестой класс вводят для информационных систем общего уровня. Здесь также выделяют отдельную категорию II уровня для всех пользователей, который требует использования средств доверенной защиты 4 уровня.
Типы средств
В зависимости от использования программной или аппаратной механики взаимодействия с потенциальными или фактическими угрозами устройства доверенной загрузки делят на три типа:
Главные категории мер обеспечения информационной безопасности
Выделяется перечень мер информационной безопасности, реализуемый полностью или частично в конкретной компании:
На иностранных языках
Процедурный
Сюда входят все меры безопасности, которые реализуются ИБ-специалистами, руководством, простыми сотрудниками. Принято выделять несколько категорий процедурных мер:
Для каждой категории руководство компании или ответственные сотрудники обязаны разработать регламенты, которые будут определять действия работников. Обязательна отработка разработанных регламентов на практике.
Для анализа защищенности конкретной информационной системы формируется описание существующих угроз ИБ, их актуальности, возможности реализации и последствий – модель угроз.
В настоящее время (конец 2021 года), подавляющее большинство программного обеспечения моделируют возникновение угроз на базе устаревшей методологии (модель угроз 2008 года или проектная модель угроз 2015 года).
Законодательный
Включает в себя совокупность мер, которые направлены на формирование и поддержку в обществе отрицательного отношения к киберпреступникам и нарушителям ИБ. Большее количество граждан не совершают киберпреступных действий по причине осуждения и наказания за подобные действия, а не потому, что нет такой технической возможности.
Государство реализует механизм, который обеспечивает согласование процедуры создания законопроектов с развитием сферы ИТ. Крайне важный процесс – актуальность действующих законов уровню развития ИТ.
В законодательстве РФ, по мнению ИБ-экспертов, не достает положительной направленности. Кибербезопасность – сравнительно новая отрасль, поэтому в этом направлении государство должно, в первую очередь, давать разъяснения, помогать, учить, а не выставлять запреты и наказывать. Государственная власть должна взять на себя роль координатора.
Законодательный уровень также включает в себя подготовку отечественных норм и стандартов в соответствие с международными регламентами в сфере ИТ и ИБ.
Правовые (законодательные)
К этой категории мер обеспечения информационной безопасности принято причислять законодательные акты, приказы и другие нормативные документы, с помощью которых осуществляется регламентация правил обращения с защищаемыми данными. С их помощью также выполняется закрепление прав и обязанностей информационных отношений при получении, обработке, эксплуатации данных. Правовые меры информационной безопасности устанавливают уровень ответственности за нарушение действующих регламентов, что создает барьеры для неправомерного использования данных.
Законодательные меры информационной безопасности имеют строго упреждающий характер, выступают в качестве профилактики нарушений, поэтому необходимо постоянно проводить соответствующую разъяснительную работу с пользователями и сотрудниками, которые обслуживают информационную систему.
Типизация защищенности средств антивирусной защиты информации
Приказом №21 Федеральная служба по товарному и экспортному контролю РФ обновила требования к средствам антивирусной защиты, которые предполагают использование специального программного обеспечения для предотвращения и устранения вредоносных программ и приложений. Механика антивирусного программного обеспечения основана на алгоритмах сканирования системных или сетевых данных. При этом для повышения эффективности следует использовать несколько направленных антивирусов одновременно, что гарантирует комплексную защиту от вредоносных файлов и программ.
Нормативная классификация предполагает шесть уровней антивирусной защищенности, значимость которых возрастает от шестого к первому. Шестой класс используют для информации 3 и 4 уровня конфиденциальности, четвертый и пятый – для 1 и 2 уровня соответственно, а первые три класса предполагают государственную тайну и требуют повышенной степени защиты данных.
Все антивирусные программы разделяют по механике взаимодействия с потенциально вредоносным программным обеспечением. Так выделяют детектор, дезинфектор, иммунизатор и другие разновидности антивирусов. Однако вне зависимости от способа работы с вирусами все программы распределяют на четыре типа:
Систематика защищенности средств вычислительной техники
Степени необходимой защиты для устройств и систем хранения и обработки данных регламентированы государственной документацией и включают в себя семь классов, значимость которых обратно пропорциональна росту порядкового номера. Первый класс предполагает наибольшую значимость СВТ. При этом классификация включает и распределение на 4 группы, каждая из которых характеризуется различными требованиями: например, необходимостью комплексного контроля и резервного копирования, гарантиями архитектуры и проектирования, руководствами пользователя.
Организационные
К этой категории мер информационной безопасности относят защитные меры административно-процедурного характера, с помощью которых осуществляется регламентация процессов работы систем обработки информации, эксплуатации их ресурсов, деятельности сотрудников, порядка взаимодействия пользователей и работников организации с информационными системами так, чтобы в максимальной степени затруднить или исключить вероятность реализации угроз безопасности, либо уменьшить объемы возможных потерь при их реализации.
Типизация средств защиты систем обнаружения вторжений
Такие меры требуются для предотвращения несанкционированного доступа к данным. При этом они актуальны как для устройств с подключением к интернету, так и для автономных автоматизированных систем. Механика предполагает программную или аппаратную защиту, но часто используют гибридный тип, который объединяет две методики предупреждения вмешательств.
Средства защиты систем от несанкционированных вторжений классифицируют по аналогии с межсетевыми экранами и выделяют 6 классов, где первые три относят к государственному уровню обеспечения безопасности с присвоением статуса государственной тайны. Четвертый и пятый класс отвечают за обнаружение вторжений для использования данных уровня 3 и 4, а шестой класс описывает 1–3 уровень конфиденциальности информации.
Типы систем
Такие системы в рамках стандартизации разделяют на несколько типов в зависимости от механики их работы. Так, например, существует типирование на основе методов обнаружения атак, их предотвращения и анализа атаки. В соответствии с уровнем их применения системы обнаружения вторжений делят на сетевые и системные. Первые используют шаблонные модели распознавания трафика, а вторые контролируют систему на основе журнала регистрации событий.
Угрозы информационной безопасности могут быть классифицированы по различным признакам:
«Информационная безопасность» в различных источниках
Ниже приведены определения термина «информационная безопасность» из различных источников:
Подобные меры информационной безопасности представлены в виде разного электронного оборудования и специализированного программного обеспечения, выполняющих защитные функции (совместно с иными средствами защиты информации или самостоятельно).
Типизация защиты средств контроля съемных машинных носителей
Механика гарантирования безопасности сведений на оборудовании посредством контроля съемных устройств подразумевает одновременно две схемы взаимодействия с потенциально вредными программами или файлами. В первом случае модуль разграничивает доступ к информации, а во втором предупреждает ее копирование или удаление посредством съемных носителей. Классификация разделяет средства контроля в зависимости от типа информации и ее значимости для пользователя. При этом к съемным носителям относят не только диски, флешки, дискеты и другие устройства, но и портативное оборудование – ноутбуки, мобильные телефоны, планшеты.
Средства контроля съемных носителей разделяют на шесть категорий в зависимости от нужной степени сохранности данных. Первые три определяют безопасность на уровне государственной тайны, 4 и 5 классы требуются для 1 и 2 уровня защищенности данных, а 6 подходит для 3 и 4 уровней конфиденциальности.
При проведении дополнительных проверок съемных носителей следует предупредить ложные срабатывания механизма защиты, чтобы не тормозить работу оборудования. В зависимости от методов оценки потенциальных угроз модули контроля работают по принципу анализа контента или предупреждения утечки информации. В большинстве случаев одно и то же устройство совмещает в себе два модуля.
Органы (подразделения), обеспечивающие информационную безопасность
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
Службы, организующие защиту информации на уровне предприятия
Организационная защита объектов информатизации
Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
К основным организационным мероприятиям можно отнести:
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Информационная безопасность предприятия
Информационная безопасность предприятия — это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.
Задачи систем информационной безопасности предприятия различны:
Обеспечение информационной безопасности — это непрерывный процесс, включающий в себя, пять ключевых этапов:
С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и её уязвимости, значимости общего риска для организации. В зависимости от имущества и будет составляться программа защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.
Цели оценки информационной безопасности:
Пять основных видов оценки:
При проведении оценки должны быть исследованы такие документы, как:
Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определённой в документе.
После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Нет политики — нет плана, на основании которого организация разработает и выполнит эффективную программу ИБП.
Необходимо разработать следующие политики и процедуры:
Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а также в подборе штата безопасности. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.
При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Грамотная профессиональная переподготовка — это механизм обеспечения сотрудников необходимой информацией.
Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.
Типизация операционных систем для обеспечения защиты информации
Защита данных на уровне операционных систем предполагает несколько методик, которые зависят от выбранного типа системы. О С разделяют на 3 категории: общего назначения, встраиваемые и реального времени, которые обозначают буквами А, Б и В соответственно. При этом операционные системы содержат как встроенные механизмы защиты, так и дополняются специальным программным обеспечением. Операционные системы разделяют на 6 классов защиты. Первые три требуются для обработки информации в области государственной тайны, 4 и 5 используют для 1 и 2 уровней конфиденциальности, а шестой – для 3 и 4 уровней.
Обеспечение защиты информации должно соответствовать ее уровню конфиденциальности, утвержденному регламентирующими государственными документами. При этом важно учитывать не только типирование с точки зрения конфиденциальности и сохранности данных, но и иметь в виду механику обеспечения безопасности на физическом уровне и выбирать соответствующее оборудование – персональные компьютеры, серверы, съемные носители. И Т-инженеры ittelo.ru помогут подобрать необходимую степень защиты данных в зависимости от значимости информации и механики ее передачи, а также порядка взаимодействия с другими организациями и необходимостью коммуникации и обмена сведениями с государственными структурами.
Морально-этические
К этой категории мер обеспечения информационной безопасности можно причислить стандарты поведения, традиционно сложившиеся или складывающиеся при распространении информационных технологий в обществе.
К морально-этическим мерам информационной безопасности можно отнести неписаные (честность, патриотизм и т. д.), писаные (кодекс, устав организации и т. д.) правила. Морально-этические меры имеют профилактический характер, поэтому организации необходимо проводить работу по формированию внутри коллектива компании здорового морального микроклимата.
Классификация источников угроз информационной безопасности
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления, например, конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.