Главная » Разное

Способы инженерно технической защиты информации

Содержание
  1. Технологии защиты информации в компании
  2. Базовые элементы информационной безопасности
  3. Разновидности угроз информационной безопасности
  4. Угрозы доступности
  5. Угрозы целостности
  6. Базовые угрозы конфиденциальности
  7. Методы защиты информации
  8. Инструменты организационно-правовой защиты
  9. Инструменты инженерно-технической защиты
  10. Криптографические инструменты защиты
  11. Программно-аппаратные инструменты для защиты сведений
  12. Техническая защита информации
  13. АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА
  14. Что такое информация?
  15. Почему информации нужна защита?
  16. Законодательная база
  17. Системный подход к защите данных
  18. Задачи службы безопасности
  19. Возможные пути утечки данных
  20. Средства и методы защиты информации
  21. Реализация технической защиты

Технологии защиты информации в компании

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Читайте также:  Способы получения химических свойств оксидов

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Источник

Техническая защита информации

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

З начительная часть существующей информации представляет определенный интерес для посторонних лиц. Охрана информационных систем – это сложный комплекс мероприятий, который включает техническую защиту информации. Для реализации охраны данных производятся непосредственные действия с массивами информации, а также профилактические меры разного вида и состава.

Что такое информация?

Общего определения термина «информация» не существует. Чаще всего под ним понимают совокупность данных, сведений, знаний, в том числе:

  • научные, образовательные сведения;
  • технологические регламенты;
  • персональные данные;
  • интеллектуальная собственность;
  • финансовые данные;
  • структурная информация (состав, род деятельности организаций, объединений или иных сообществ).

Основные свойства грамотно охраняемой информации:

  • конфиденциальность – доступ к массивам данных должен быть только у доверенных лиц или сотрудников;
  • целостность – сведения не могут быть изменены, скопированы или обработаны иным способом без соответствующих разрешений;
  • доступность – доверенные сотрудники не должны испытывать затруднений в пользовании или работе с данными.

Сведения хранятся в виде бумажных документов или электронных файлов. Способ представления информации не имеет принципиального значения, поскольку это лишь вариант ее консервации до момента использования. В современных условиях предпочтительны цифровые способы хранения данных, поскольку они удобны для быстрой передачи, тиражирования, изменения и прочих видов обработки. Однако это удобство имеет обратную сторону – появляется возможность доступа к информации для посторонних лиц или злоумышленников. Возникает необходимость охраны информационных массивов с помощью организационных или технических средств, программных методов.

Читайте также:  Способы совладания со стрессом психология

Почему информации нужна защита?

Большинство сведений представляет собой определенную ценность и могут быть использованы во вред их обладателям. Злоумышленники используют массу методов несанкционированного доступа к информации, приносящих значительный вред организации или физическому лицу.

Перечень угроз безопасности информации велик – от прямого хищения документов до взлома компьютерных систем с целью хищения или несанкционированной обработки данных.

Необходимо учитывать, что универсальных методов защиты информации не существует. Невозможно заранее предусмотреть все варианты развития событий. Особенностью сведений является изменчивость их важности в глазах как собственника, так и посторонних лиц.

Актуальность и содержательность данных меняются, иногда это происходит с большой скоростью. Противостояние систем защиты информации и злоумышленников способно принять любые формы – от активных действий до случайных, эпизодических попыток несанкционированного доступа. Нередко возникает ситуация, когда внешних признаков угрозы нет, и руководство организации начинает относиться к обеспечению информационной безопасности как к излишней, непродуктивной нагрузке. Сокращается финансирование подразделений охраны, уделяется меньше внимания мероприятиям по защите информации. В таких условиях потери или хищения сведений – лишь вопрос времени.

Законодательная база

Основным законодательным актом, обеспечивающим защиту информации, является Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации». В нем перечислен ряд понятий, с помощью которых реализуется государственный подход к охране и защите конфиденциальной информации. Определены принципы и нормы правового регулирования, даны четкие определения объектов и субъектов правовых отношений в сфере информационной безопасности. Регулируется право на различные действия с информацией:

  • обладание;
  • распространение;
  • документирование;
  • обмен;
  • обработка.

Отдельно определена ответственность за действия, связанные с нарушениями в сфере информационных технологий. Для обеспечения государственной поддержки защиты информационных ресурсов создана Федеральная служба по техническому и экспортному контролю (ФСТЭК). Это государственный орган, который обеспечивает защиту информации на стратегическом уровне, в том числе выполняет множество функций:

  • выдает лицензии на использование и изготовление средств защиты информации;
  • выдает заключения о возможности применения импортных средств защиты данных;
  • производит аккредитацию внешнеэкономических компаний;
  • выдает компаниям разрешения на экспорт продукции;
  • выдает разрешения на использование нетарифных методов для компаний, занятых в сфере внешнеэкономической деятельности.

На базе ФЗ № 149 созданы ГОСТы, определяющие порядок защиты информации в организациях, сетях электросвязи и других сферах деятельности. Они являются основными нормативными документами в сфере защиты конфиденциальной информации. Действия подразделений или служб, обеспечивающих охрану данных, должны быть согласованы с этими стандартами.

Системный подход к защите данных

Особенностью защиты информации является невозможность выработки универсальных методик. Для успешного решения возможных проблем необходим комплексный подход. Возникает необходимость в системах защиты информации, объединяющих все существующие методики. Это непростая задача, требующая всестороннего анализа существующих данных, оценки их важности и распределения массивов по уровню ценности. Необходимо определить возможные каналы утечки информации, предотвратить несанкционированный доступ посторонних лиц или неавторизованных сотрудников к ценным сведениям. Для этого нужны средства защиты информации. Важно, чтобы действия службы охраны данных не оказались помехой для работы организации.

Задачи службы безопасности

Охрана конфиденциальной информации требует наличия специального подразделения. Для создания службы информационной безопасности (ИБ-службы) руководству организации необходимо точно представлять себе ее задачи и приоритетные функции. К ним относятся:

  • контроль доступа сотрудников в помещения, где находится защищаемая информация;
  • защита носителей информации от внешних угроз, включая пожары или стихийные бедствия;
  • контроль удаленного доступа по всем возможным каналам приема и передачи сведений.

Подразделение обеспечения безопасности должно состоять из проинструктированных сотрудников. Необходимо обследовать территорию и разбить ее на зоны ответственности. Для каждой определить уровень допуска сотрудников для выполнения профессиональных обязанностей. Параллельно надо вести работу по изучению возможных способов проникновения, устанавливать посты или КПП. При этом мероприятия не должны создавать препятствий для функционирования организаций, тормозить работу сотрудников. Важно четко различать источники опасности и доверенных сотрудников, чтобы не получить на выходе сплошной контроль без полезных результатов.

Читайте также:  Способы статистического анализа данных

Возможные пути утечки данных

Потеря сведений возможна на любом этапе их использования. Охрана важных данных должна базироваться на принципе недоступности информации для посторонних, отсутствии возможности случайного доступа, воздействия или обработки.

К наиболее проблемным каналам утечки следует отнести:

  • съемные носители информации, в том числе флешки, SD-карты памяти смартфонов, фотоаппаратов;
  • соцсети – это простой и быстрый способ передать сведения одному или нескольким лицам;
  • мессенджеры и сервисы для мгновенного обмена сообщениями. В их число входят модные ныне WhatsApp, Viber, Telegram, Skype и другие.

Необходимо также обеспечить невозможность прослушки переговоров сотрудников. Нередко офисы организаций находятся в жилых домах, где есть возможность услышать разговоры в соседней комнате. Кроме того, существуют технические системы, позволяющие получать информацию, считывая ее снаружи, с оконных стекол кабинета. Они направляют луч лазера на поверхность стекла и фиксируют мельчайшие колебания, возникающие при его контакте со звуковыми волнами (разговор). Поэтому для важных переговоров предпочтительно использование специальных помещений. На стекла в таких переговорных устанавливают ультразвуковые глушилки, делающие устройства прослушки бесполезными.

Не менее важными объектами защиты являются телефонные или оптоволоконные кабели, провода систем связи. Современные технологии позволяют получить сигнал даже без непосредственного подключения, путем электромагнитного сканирования проводов. Поэтому необходимо выполнять прокладку кабелей и проводов по закрытым, надежно экранированным каналам.

Необходимо внимательно анализировать и изучать задачи злоумышленников. Понимание, в каких целях предпринимаются попытки доступа к базам данных, позволит принимать эффективные меры по их обнаружению. Важно учитывать, что преступники не всегда считают хищение сведений своей задачей. Часто им требуется уничтожить или изменить данные. Поэтому необходимо предусмотреть варианты злонамеренного использования информации и максимально ограничить такие возможности.

Средства и методы защиты информации

Специфика технических систем защиты данных должна соответствовать форме и условиям их хранения и использования. Существуют общие меры предотвращения несанкционированного доступа:

  • введение контроля за лицами, входящими в здание. На крупных предприятиях часто вводится пропускной режим;
  • использование специальных технических средств связи и передачи данных – защищенные каналы, передача с шифрованием сигнала, системы кодировки данных;
  • защита важных помещений от прослушки, визуального наблюдения;
  • разграничение помещений по уровню допуска. Сотрудники, имеющие низкий уровень, не должны иметь возможности появляться в зонах, где требуется более высокий уровень допуска;
  • установка шумоизоляции (например, укладка термозвукоизола – прошивного материала для шумопоглощения) на стенах и других плоскостях важных помещений.

Большую важность имеет организация работы с сотрудниками. Они должны получить определенный допуск к информационным ресурсам, который соответствует их профессиональным обязанностям. Кроме этого, сотрудникам необходимо пройти инструктаж по обращению с данными. Работникам ИБ-службы следует предупредить персонал об ответственности за повреждение или хищение информационных массивов.

Реализация технической защиты

Для охраны баз данных используются два основных метода:

С помощью аппаратного метода выполняют поиск и обнаружение попыток несанкционированного доступа. Используются методы пассивного и активного противодействия атакам злоумышленников.

Программный метод предназначен для отсечки попыток получения данных из компьютерной техники. Используются антивирусные приложения, файрволы, шифрование данных, парольная защита.

Если аппаратные методы рассчитаны на непосредственное использование технических средств защиты, то программные методики предназначены для предотвращения удаленных способов воздействия на базы данных.

Обе методики нуждаются в постоянном контроле работоспособности и обновлении. С появлением новых технических и программных средств старые способы защиты перестают работать. Злоумышленники находятся в постоянном поиске новых возможностей получения чужих сведений, поэтому системы защиты не должны отставать от них. Попытки экономии на охране неизменно приводят к потере данных. Работа организации может быть полностью парализована, чего допустить нельзя. Важно предусмотреть намерения злоумышленников, опередить их на всех стадиях неправомерных действий.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.