Содержание
- Средства анализа и контроля защищенности информации
- Защита ПЭВМ
- Нормативная основа
- Организация технической защиты информации на предприятии
- Основные задачи системы
- Как защитить информацию в почте и соцсетях
- Процедурные задачи
- Как происходит утечка
- Организационные, технические и программные средства защиты
- Способы доступа посторонних к сведениям
- Средства криптографической защиты информации
- Зона перехвата излучений
- Какие бывают информационные опасности
- Выявление ПЭМИН в информационной системе и защита от них
- 2.3. Протоколирование и аудит
- Понятие целостной системы
- Объекты защиты
- Проверки
- Средства защиты информации
Средства анализа и контроля защищенности информации
Эти СЗИ иногда еще называют сетевыми сканерами безопасности. Они сканируют корпоративную сеть, проверяя узлы на возможность взлома. Сканеры могут предотвратить атаки таких типов, как «отказ в обслуживании», «подмена» и других. Вот примеры:
- Сканер уязвимостей XSpider. Разработан российской компанией и способен выявлять множество уязвимостей, независимо от программной и аппаратной платформы. Также он может проверить надежность парольной защиты, проанализировать структуру HTTP-серверов и многое другое.
- СКАНЕР-ВС. Это внешний загрузочный накопитель с операционной системой и ПО для тестирования. Именно благодаря этому СКАНЕР-ВС выполняет требования многих стандартов безопасности. Умеет анализировать сетевой трафик, беспроводные сети и многое другое.
Защита ПЭВМ
При защите информации от утечек основным принципом становится снижение уровня излучения или использование шумов, которые сделают ПЭМИН нечитаемым, не дадут возможность преобразования. В первую очередь защищаются компьютеры. Если нет возможности приобрести уже защищенное по модели Secret оборудование, возможна доработка имеющегося силами специальных лицензированных организаций, по направлениям:
- использование фильтра-генератора для защиты цепей питания и заземления;
- применение устройств зашумливания.
Дополнительно, если компьютер не защищен при помощи сертифицированных ФСТЭК технологий, используются генераторы шума. Уровень маскирующего сигнала обычно на 10—20 дБ превышает уровень побочных излучений. Государственная комиссия по радиочастотам при Минсвязи выделила для генераторов шума полосу радиочастот 0,1—1000 МГц. Пиковые значения напряженности электромагнитного поля для каждой из подгрупп частот установлены в ГОСТ, и они проявляются в пределах 10 м от работающего компьютера. Активная форма защиты иногда предполагает использование одновременно нескольких генераторов для стоящих рядом машин, что ставит перед специалистами задачу сложить напряжения и избежать их конфликта, приводящего к появлению неконтролируемых зон.
Интересно, что использование генераторов шума в повышенном количестве является демаскирующим признаком, способным оповестить заинтересованных лиц о том, что в помещении обрабатывается информация ограниченного доступа.
Нормативная основа
Все информационные массивы делятся на две основные группы:
- подлежащие защите в соответствии с федеральными законами;
- подлежащие защите в соответствии с внутренней политикой организации.
К первым относятся данные, содержащие государственную тайну и иные сведения, предусмотренные федеральными законами. Это персональные данные сотрудников и клиентов, защищаемые в соответствии с Законом «О персональных данных». Их бесконтрольное распространение может нанести ущерб личности и ее безопасности. К этой группе сведений относится и банковская тайна, которая охраняется на основании закона «О банках и банковской деятельности», и некоторые другие. Утечка этих сведений способна привести к финансовому ущербу для клиентов, который может быть переложен на виновника в регрессном порядке.
При работе организации со сведениями, содержащими государственную тайну, находящимися, например, в некоторых государственных контрактах, требуется соблюдение специальных режимов защиты информации, это предусмотрено законом «О государственной тайне». Соответствие системы безопасности организации требованиям, предъявляемым к работе с такими сведениями, подтверждается лицензией, выдаваемой органами ФСБ. Ее должно получать большинство компаний, участвующих в тендерах. Для ее получения система мер защиты от утечек будет проверена на соответствие всем требованиям аттестационным центром. Порядок выдачи лицензии регулируется Постановлением Правительства № 333.
Коммерческая и профессиональная тайна организации, представляющая интерес для ее конкурентов, охраняется в соответствии с нормами Гражданского и Трудового кодекса и внутренними нормативно-правовыми актами компании. Чаще всего она представляет интерес для конкурентов компании, которые могут использовать ее в борьбе за преимущества на рынках сбыта, но может она иметь и самостоятельную ценность для преступных группировок.
Создание ситуации для хищения информации или само преступление преследуются в соответствии с Уголовным кодексом, в котором содержится статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».
Организация технической защиты информации на предприятии
Для создания эффективной системы защиты конфиденциальной информации необходимо действовать продуманно и последовательно. Процесс состоит из нескольких этапов:
- Всесторонний анализ имеющихся информационных ресурсов.
- Выбор концепции информационной безопасности, соответствующей специфике и особенностям используемых данных.
- Внедрение средств защиты.
- Разработка организационных мер защиты данных, соответствующих специфике компании.
Все принимаемые меры должны соответствовать действующим законодательным нормам, иначе возникнут конфликты правового характера. В этом отношении сотрудникам ИБ-службы необходимо постоянно сверяться с нормами и требованиями ФСТЭК и статей закона ФЗ-149, чтобы не допустить нарушений и не втянуть предприятие в судебные разбирательства. Правовая основа должна быть базой, на которой строится вся система защиты информации на предприятии.
Важным этапом является изучение рисков и определение источников опасности. От этого зависит эффективность системы защиты информации. Если все возможные угрозы правильно определены, опасность утечки данных снижается до минимальных значений. Необходимо выполнить следующие действия:
- составить перечень всех устройств, содержащих конфиденциальную информацию. Кроме этого, учесть все действующие и резервные каналы связи, как проводные, так и сетевые;
- определить наиболее ответственные участки, разграничить доступ в помещения, установить систему контроля за перемещением сотрудников и посторонних лиц;
- используя результаты анализа, рассчитать величину ущерба, определить последствия несанкционированного доступа и мошеннического использования информации;
- составить перечень документов и информационных массивов, подлежащих первоочередной защите. Установить уровень допуска и составить списки доверенных пользователей;
- создать службу информационной безопасности, которая является отдельным подразделением и, помимо специалистов по безопасности, включает системных администраторов и программистов.
Если у компании нет ресурсов и времени для создания собственной ИБ-службы, можно передать ее задачи на аутсорсинг. Что это такое?
Основными задачами ИБ-службы являются:
- общая техническая защита информации;
- исключение доступа и несанкционированного использования конфиденциальных данных;
- обеспечение целостности информационных массивов, в том числе при возникновении чрезвычайных ситуаций (пожары, стихийные бедствия).
Методы, используемые для технической защиты информации, должны соответствовать специфике предприятия. Среди них можно выделить наиболее эффективные мероприятия:
- криптографическая защита информации (шифрование);
- использование электронной подписи для подтверждения авторства доверенного пользователя;
- резервное копирование баз данных и операционных систем;
- создание системы паролей для идентификации и аутентификации сотрудников;
- контроль событий, происходящих в информационной системе. Фиксация попыток входа и выхода, действий с файлами;
- применение смарт-карт, электронных ключей в рамках системы допусков и ограничения перемещений работников;
- установка и использование на компьютерах межсетевых экранов (файрволов).
Кроме этих мер необходимо ввести процедуру проверки и тестирования сотрудников с высоким уровнем допуска. Рекомендуется присутствие ИБ-сотрудника в помещениях, где производится обработка конфиденциальных данных.
Основные задачи системы
Создавая инженерно-техническую систему, предприятие вводит в действие комплекс организационных мероприятий и ряд технических мер, которые обезопасят ценную информацию. Можно выделить 3 основных задачи, над которыми работает система:
- Обезопасить здание и помещение от проникновения посторонних субъектов с целью кражи, порчи или изменения сведений;
- Предотвратить порчу или полное уничтожение информационных носителей от последствий природных катаклизмов и от воздействия воды при тушении пожара;
- Закрыть доступ злоумышленникам ко всем техническим каналам, по которым может произойти утечка данных.
Инженерно-техническая защита должна отвечать современным требованиям:
Постоянство и готовность к любым угрозам;
Создание разных по уровню безопасности зон;
Всегда опережать мошенников на 1 ход, быть в курсе технологических новинок;
Уровень защиты информации должен быть соизмерим с важностью и ценностью сведений;
Невозможность посторонним получить доступ к секретным данным;
Не использовать один вид защиты, объединять разные меры и запускать в действие комплекс защитных средств;
В первую очередь охранять самую важную информацию.
Вся территория предприятия должна разделяться на зоны, вход в которые производится по специальному допуску. Чем ближе зона к тайным сведениям, тем выше уровень контроля и уже количество лиц, которые могут туда пройти. Этого можно добиться с помощью установки постов или контрольно-пропускных пунктов. Такие меры принимаются для того, чтобы у возможного постороннего субъекта на пути его движения возникали препятствия в виде контрольных зон и рубежей, на которых можно было бы выявить факт кражи и задержать мошенника.
Вебинар по защите информации:
Как защитить информацию в почте и соцсетях
Гиганты, такие как Google, Яндекс, придумывают новые способы защитить данные, хранящиеся в почтовых ящиках пользователей. Например, в гугл-почту пользователи теперь заходят через разблокировку смартфона (при попытке зайти в почту на экране мобильного выскочит просьба подтвердить личность), используется двухфакторная аутентификация (такая же опция доступна, к примеру, в Инстаграм) и т.д.
Ещё недавно защита аккаунтов посредством введения кода из СМС (двухфакторная аутентификация) считалась надёжным методом. Однако эксперты говорят, что время этого способа защиты информации ушло.
Процедурные задачи
Кроме документального, решение задачи технического обеспечения информационной безопасности предприятия внедряется на процедурном уровне. Требуется:
- организовать управление персоналом на уровне, исключающем возникновение инцидентов безопасности со стороны инсайдеров;
- обеспечить физическую защиту документов и элементов инфраструктуры, в некоторых случаях и персонала. В этой же группе задач внедряются противопожарные меры и другие меры безопасности, исключающие повреждение объектов в результате аварии;
- организовать процесс постоянного поддержания работоспособности системы;
- спланировать реакцию на инциденты и дальнейшие восстановительные работы.
На программном уровне реализуются следующие шаги:
- установка SIEM-систем, выявляющих инциденты безопасности, и DLP-систем, исключающих утечку данных из охраняемого периметра;
- внедрение межсетевых экранов (файрволов) и средств обнаружения вторжений, снижающих риск внешних атак;
- расширение пропускного канала, снижающего вероятность успешных DDoS-атак;
- установка сервиса постоянного аудита и мониторинга работоспособности системы;
- применение средств криптографической защиты, прошедших сертификацию.
Если реализация мероприятий по созданию системы технического обеспечения информационной безопасности предприятия осуществляется организацией-подрядчиком, она должна иметь лицензии. Выполнение комплекса мер позволит обеспечить защиту интересов фирмы на высшем уровне.
Как происходит утечка
В последнее время частные офисы арендуют помещения, которые находятся в жилых домах, где соседние помещения – квартиры обычных граждан. Стены у многоэтажных домов очень тонкие, и все, о чем говорится в соседней квартире, слышно на 98%. Таких технических каналов утечки много, каждый из них связан с физическим, химическим или биологическим полем или иными средствами разведки. Информация может быть снята в процессе ее передачи, обсуждения, создания или обработки. Канал утечки – это не только непосредственный путь движения данных, но и технические каналы, которые сопровождают работу других объектов.
Век новых технологий дает возможность мошенникам пользоваться данными с отраженных сигналов, с подслушивающих радиозакладных устройств, магнитными и электромагнитными полями секретного объекта. Посторонние лица используют заземление и сеть электрического питания для снятия информативного сигнала, проходящего через них. Даже такие простые предметы, как неэкранированные провода, трансформаторы, громкоговорители, разъемы или разомкнутые контуры, могут стать каналом утечки сигналов, которые будут сняты с помощью электромагнитных полей.
Если же субъекты используют один из технических каналов передачи информации и обработают ее, то они смогут не только изъять секретные данные, но и исказить или заблокировать их. Данные и информативные сигналы распространяются по воздуху, линиям передачи информации и электропитания. Поэтому подключиться к ним контактным или бесконтактным способом не составит труда. Для этого злоумышленники используют радиоустройства, которые передают сведения на расстояниях (устройства, подавляющие звуковые сигналы записывающей аппаратуры).
Целью мошенников может быть не только копирование или уничтожение данных, но и создание помех в работе устройств предприятия. А это приводит к тому, что некоторые системы инженерно-технической защиты будут работать не в полную силу или некачественно. В результате происходят многочисленные сбои в работе тех или иных процессов, а в крайних случаях происходят аварийные ситуации.
Организационные, технические и программные средства защиты
Для любой компании реализация системы технической безопасности инфраструктуры начинается с принятия пакета прикладных организационных мер. Основным документом окажется Политика информационной безопасности, многие внутренние регламенты могут быть разработаны в качестве приложений к ней. Не рекомендуется оформлять в качестве приложений документы, разработка которых регламентирована необходимостью защиты персональных данных и выполнений требований регулятора.
Проверяющие организации запрашивают отдельными документами:
- Положение о порядке обработки персональных данных.
- Положение о подразделении, которому поручена охрана персональных данных.
- Иные документы, в частности, журнал учета движения съемных носителей.
Их отсутствие может привести к штрафам. Помимо документов, относящихся к персональным данным, необходимо разработать и внедрить:
- политику контроля и предотвращения несанкционированного доступа к информации и объектам инфраструктуры;
- методику определения степени дифференциации доступа;
- регламент управления паролями, предусматривающий обеспечение их сложности, своевременную замену, ответственность за передачу;
- политику восстановления ИС после аварий с указанием необходимых для него временных периодов;
- политику резервного копирования данных с указанием их объема, периодичности копирования, места хранения;
- методику работы с Интернетом и политику установки программного обеспечения;
- политику по работе с бумажными документами (их печать, копирование, сканирование);
- положения о подразделениях и должностные инструкции сотрудников.
Персонал должен быть ознакомлен с документами. Они должны храниться в доступном для ознакомления месте, например, на сервере компании.
Способы доступа посторонних к сведениям
Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля.
Возможные варианты получения незаконного доступа:
- подключение к системам связи (телефонные линии, интеркомы, проводные переговорные устройства);
- хищение документации, в том числе ее копирование (тиражирование) с враждебными целями;
- непосредственное использование компьютеров, внешних накопителей или иных устройств, содержащих информацию;
- внедрение в операционную систему через Интернет, в том числе с использованием шпионских программ, вирусов и прочего вредоносного программного обеспечения;
- использование сотрудников компании (инсайдеров) в качестве источников сведений.
По данным Gartner, 60% людей готовы пойти на преступление под гнетом обстоятельств. Узнайте, на что способны ваши сотрудники с помощью СёрчИнформ ProfileCenter».
Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных. Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций. Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.
Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж). В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений. Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних.
Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде.
Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными. Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует. Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.
Средства криптографической защиты информации
Эти СЗИ защищают уже не доступ к информации, а ее саму — с помощью криптографии. То есть, вся она передается в зашифрованном виде и декодируется с помощью криптографических ключей. Без них злоумышленник не сможет понять смысла данных, даже если перехватит их. Вот два примера:
- КриптоПро CSP. Алгоритмы криптографии здесь отвечают требованиям ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая». Есть сертификаты соответствия ФСБ России.
- КриптоАРМ. Еще одно решение с сертификатами соответствия ФСБ России. Шифрование здесь также соответствует требованиям ГОСТ 28147-89.
Зона перехвата излучений
Пространство вокруг работающего компьютера, в котором напряжение электромагнитного поля превышает фоновые значения, начинается, в зависимости от мощности и защищенности компьютера, с радиуса в 10—15 метров и достигает нескольких десятков. Оно называется зоной R2, и в нем возможен перехват данных работающим средством электромагнитной разведки. Обычно параметры зоны указываются в сертификате соответствия оборудования.
В работе государственных органов власти — МИД, ряда правоохранительных органов — часто используются тщательно защищенные компьютеры семейства Secret. Эти машины представляют собой модификацию серийных отечественных или зарубежных ПЭВМ, , доработанных для повышения характеристик защищенности информации от утечки по техническим каналам. Это достигается за счет побочных электромагнитных излучений и наводок (ПЭМИН) и НСД. Для компьютеров этого семейства зона R2 не превышает 8—10 м. Такие ПЭВМ после доработки и в целях сертификации проходят специальные проверки и исследования, предназначенные для выявления при помощи контрольно-измерительной техники возможных технических каналов утечки данных.
Доработка проводится без использования специальных средств зашумливания, параметры желаемой зоны R2 устанавливаются заказчиком при подготовке ТЗ.
Какие бывают информационные опасности
Существует два типа опасных факторов для любой информации. Это несанкционированный доступ и повреждение по естественным причинам.
Однако эти два указанных сегмента делятся на несколько категорий, которые методы и средства защиты информации классифицируют как имеющие отличные друг от друга показатели возможного ущерба.
В частности, несанкционированный доступ подразделяется на:
- доступ к данным для ознакомления, копирования, с целью последующего использования в целях, подразумевающих нанесение вреда владельцу (репутационного, материального, измеряемого в недополученной прибыли);
- доступ с целью изменения, что может повлечь за собой самые различные последствия, включая уголовную и административную ответственность;
- доступ с целью удаления для нанесения ущерба различного рода.
Методы защиты информации в информационных системах выделяют и сугубо криминальные действия, не направленные на определенного владельца или сегмент данных. Современные злоумышленники шифруют файлы, базы, шантажируя компании.
Деньги вымогаются за возврат информации в исходное состояние или иные действия.
Известный вирус-шифровщик wanna cry
Естественные причины связаны только с отказом оборудования и достаточно легко нейтрализуются. Это может быть выход из стоя элементов хранения данных (жестких и оптических дисков, ленточных носителей, контроллеров RAID массивов).
Хотя такие случаи легко учитываются и прогнозируются, с построением системы дублирования и резервного копирования — период времени, необходимый для восстановления информации, зачастую причиняет репутационные потери, вызывает отказ в обслуживании и другие неприятные последствия.
Выявление ПЭМИН в информационной системе и защита от них
Вне зависимости от того, используются ли злоумышленниками побочные излучения и наводки от компьютеров, первым этапом борьбы с ними становится изолирование рабочих машин от Интернета, чтобы избежать передачи вовне перехваченной информации. Маршрутизатор является обязательным средством, но не единственным. Серьезную дополнительную защиту от утечек данных по каналам ПЭМИН, несанкционированного взаимодействия приложений, способных передавать информацию друг другу и обеспечивать ее утечку по менее контролируемым каналам, от проникновения в информационную систему организации вредоносных программ дает межсетевой экран.
В государственных организациях неуклонно соблюдается принцип изоляции компьютеров, на которых обрабатываются данные повышенного уровня конфиденциальности, от общей сети Интернет. Иногда это решается полным отказом от взаимодействия, иногда оборудование подключается к государственным и ведомственным сетям Рунета с повышенным уровнем защиты.
Если сотруднику предоставляются две рабочие машины, одна из которых подключена к Интернету, вторая нет, это не решает задачу. Информация, обрабатываемая в локальной сети, и побочные излучения компьютеров, направленные на кабели локальной сети, с легкостью наводятся на провода машины, подключенной к Интернету. Кабели открытой сети часто выходят за пределы охраняемого помещения, и подключить к ним закладное устройство несложно. Это создает необходимость прокладывания кабелей с соблюдением рекомендованных ФСТЭК правил безопасности. Разработку топологии прокладки проводов лучше проводить на первом этапе обустройства помещения, до установки оборудования. Правильность построения защищенной от перехвата данных по каналам ПЭМИН сети подтверждается аттестацией.
Дополнительный риск создает использование вредоносных программ, работающих по принципу Soft TEMPEST. Выполняя формально не запрещенные операции, они генерируют дополнительное излучение, модулированное информационным сигналом, которое считывается закладными устройствами. Интересно, что в рамках программы TEMPEST реализуются и защитные меры, разработаны специальные шрифты, которые при вводе данных способны погасить побочные излучения.
При анализе оборудования на побочные излучения нельзя ограничиваться компьютерами, дополнительно проверяются:
- средства связи — от IP-телефонии до «кремлевки», если она установлена в кабинете руководства;
- средства звукоусиления и звукозаписи;
- факсовые аппараты;
- оборудование для проведения видеоконференций;
- элементы умного дома;
- сигнализации всех типов;
- диспетчерская связь;
- оргтехника;
- метрологическая аппаратура;
- световые приборы, передающие информацию путем преобразования электромагнитного излучения в световое;
- СКУД.
Проверка ведется при помощи специального оборудования по заранее составленному плану. Закладные устройства могут быть подключены к оборудованию, проводам питания и заземления, электророзеткам. Информация по наводкам легко переходит от одного кабеля к другому, поэтому проверке подлежат все провода и сети, если они заранее не размещены недоступным способом или не экранированы. Также в зоне риска находятся пульты управления технологическим оборудованием, распределительные щиты.
2.3. Протоколирование и аудит
Под протоколированием понимается сбор и накопление
информации о событиях, происходящих в информационной системе.
Эти событий можно разделить на:
— внешние (вызванные действиями других сервисов)
— внутренние (вызванные действиями самого
сервиса)
клиентские (вызванные действиями
пользователей и администраторов).
Аудит — это анализ накопленной информации, проводимый
оперативно, в реальном времени или периодически (например, раз в день).
Реализация протоколирования и аудита решает следующие
задачи:
обеспечение подотчетности пользователей и
администраторов;
(обеспечение возможности реконструкции
последовательности событий;
— о6наруженис попыток нарушении информационной
безопасности;
предоставление информации для выявления и
анализа проблем.
Слишком обширное или подробное протоколирование не
только снижает производительность сервисов (что отрицательно сказывается на
доступности), но и затрудняет аудит, то есть не увеличивает, а уменьшает
информационную безопасность.
При протоколировании события рекомендуется записывать,
по крайней мере, следующую информацию:
• дата и время события;
• уникальный идентификатор пользователя
• результат действия (успех или неудача);
• источник запроса (например, имя терминала);
• имена затронутых объектов (например, открываемых или
удаляемых файлов);
• описание изменений, внесенных в базы данных защиты
(например, новая метка безопасности объекта).
Характерная особенность протоколирования и аудита —
зависимость от других средств безопасности. Идентификация и аутентификация
служат отправной точкой подотчетности пользователей, логическое управление
доступом защищает конфиденциальность и целостность регистрационной информации,
а реконструкция последовательности событий позволяет выявить слабости в защите
сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и
вернуться к нормальной работе.
Понятие целостной системы
Защищать ценные сведения и организовывать работу контролирующей структуры может каждое физическое или юридическое лицо в зависимости от характера и уровня защиты информации и в соответствии с законами Российской Федерации. Разработка инженерно-технической системы и мероприятий проводится после изучения вопроса и определения необходимых мер по сохранности информации. Для этого ценные данные должны быть ограждены ото всех возможных каналов утечки, несанкционированного доступа и неосторожных (непреднамеренных) действий персонала организации.
Советуем вам так же это видео:
Данные могут не просто украсть, а исказить путем дописывания недостоверных сведений, скопировать и выставить от своего имени и, что еще хуже, заблокировать доступ к ней. Любой носитель информации мошенники могут украсть, уничтожить или испортить. Но это не единственный источник опасности, такие же последствия могут произойти вследствие ошибочных непреднамеренных действий пользователя или же во время стихийного бедствия. Поэтому инженерно-техническая система действий и мероприятий должна быть направлена на защиту не только сведений, но и носителя информации, а также на весь информационный процесс работы с секретными данными.
Объекты защиты
Способы защиты информации имеют свою цену, и необходимо так разграничить объекты охраны, чтобы наиболее сложные и дорогостоящие методы применялись к наиболее ценным информационным объектам. Такое ранжирование производится еще на стадии разработки требований к архитектуре информационной системы.
Выделяются следующие информационные массивы:
- исходные данные – сведения, которые направляются в АИС на хранение и обработку от пользователей, клиентов, контрагентов;
- производные данные, создающиеся в АИС в результате обработки исходных. Это базы данных, отчеты, структурированные иным способом информационные массивы;
- служебные, вспомогательные сведения, данные сканирования, архивы работы систем защиты;
- программные средства защиты информации, представляющие собой лицензионные продукты или созданные собственными силами;
- алгоритмы, которые легли в основу разработки программ.
За исключением вспомогательных данных, большинство информационных массивов может содержать коммерческую тайну, защита которой должна обеспечиваться на самом высоком уровне.
Проверки
Ведомство регулярно проводит плановые и внеплановые проверки деятельности организаций в сфере защиты информации. Плановые проводятся раз в три года. О том, что компания попала в список на проверку, можно узнать в конце предыдущего перед проверкой года в реестре на сайте Генпрокуратуры. Внеплановые проводятся в критических случаях, когда выявлена реальная угроза безопасности данных.
Результатами проверки становятся:
- отсутствие замечаний;
- вынесение предписаний об устранении недостатков;
- административный штраф;
- приостановка деятельности;
- в редчайших случаях – представление о привлечении к уголовной ответственности.
На практике нехватка документов, отсутствие контроля за машинными носителями информации или использование несертифицированного программного обеспечения для оператора ПД, если он не является, например, банком или крупным провайдером, приводит к небольшим штрафам.
Тем не менее не стоит пренебрегать рекомендациями и требованиями ФСТЭК по защите информации, утечка персональных данных и иных сведений из-за беспечности может привести к крупным убыткам.
Средства защиты информации
В отличие от методов — средства защиты информации рассматривают более узкие области ответственности. Они разделяются на работу с материальными, информационными, трудовыми ресурсами.
Физические
Физические методы крайне схожи с созданием препятствий как общего принципа действия.
Однако существует конкретизация разделения принимаемых мер.
- Для предотвращения доступа и одновременного обеспечения безопасности персонала физические методы заключены в разработке путей эвакуации, установке специальных противопожарных дверей, систем оконного заграждения.
- С целью контроля доступа в помещения используются идентификаторы трудовой единицы.
- Предусматривается установка надежных противопожарных систем для предотвращения потерь данных вследствие пожара.
Физические защитные методы предусматривают контроль периметра, обеспечение бесперебойного питания оборудования, работу систем оповещения.
Система защиты серверной комнаты в случае пожара
Или же систем пожаротушения.
Психологические
Психологические средства расширяют методики побуждения. Они заключены не только в формировании личной заинтересованности и положительной мотивации.
В комплекс психологических мер включается карьерная лестница, создание социальных лифтов, сетки поощрений.
Восхождение на карьерную лестницу
Хорошие результаты приносит и организация хорошего отдыха персонала, например, корпоративные путевки на курорты, тематические экскурсии, туры выходных дней для укрепления морали и сплоченности коллектива.
Организационные
Организационные методы защиты информации — это своеобразный сплав из управления, принуждения, регламентации.
В список включается:
- разработка инструкций, касающихся проведения тех или иных процедур работы с данными;
- формирование общих должностных инструкций;
- разработка системы наказаний, норм ответственности за нарушения;
- реализация мер, призванных повысить уровень знаний и умений персонала.
Реализация организационных методов защиты позволяет добиться полного умения работников обращаться с информацией, выполнять нормированный список обязанностей, четко осознавать возможные последствия тех или иных нарушений.
Законодательные
Правовые методы защиты информации описывают множество вариантов поведения людей или организации в целом при обращении с теми или иными данными. В частности, самым знакомым среднестатистическому гражданину — является процесс хранения личных сведений.
Иные механики обращения — приняты в компьютерных системах. В частности, пароль доступа является секретным и известным только конкретному пользователю, не может разглашаться, так далее.
Правовые методы защиты могут регламентироваться как законами государства, так и формироваться в пределах оказания отдельной услуги или на время выполнения договора. В этом случае конкретный список прав, разрешений, запрещенных действий — утверждается документально.
Заключение коллективного договора
Аналогичный процесс может реализовываться в разрезе предприятия или компании. Утверждающими документами при этом является коллективный договор, договор подряда, должностные инструкции.