Главная » Разное

Способы защиты информации 2010

Содержание
  1. Технологии защиты информации в компании
  2. Базовые элементы информационной безопасности
  3. Разновидности угроз информационной безопасности
  4. Угрозы доступности
  5. Угрозы целостности
  6. Базовые угрозы конфиденциальности
  7. Методы защиты информации
  8. Инструменты организационно-правовой защиты
  9. Инструменты инженерно-технической защиты
  10. Криптографические инструменты защиты
  11. Программно-аппаратные инструменты для защиты сведений
  12. Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации
  13. Приказ ФСТЭК России от 31 августа 2010 г. N 489
  14. ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
  15. ПРИКАЗ
  16. от 31 августа 2010 года N 489
  17. ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ
  18. ТРЕБОВАНИЯ
  19. О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ

Технологии защиты информации в компании

Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Читайте также:  Глушение скважины способом ожидания утяжеления

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Источник

Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации

Приказ ФСТЭК России от 31 августа 2010 г. N 489

Приказ ФСТЭК России от 31 августа 2010 г. N 489

Приказ ФСТЭК России от 31 августа 2010 г. N 489

177 КБ 20833
92 КБ 5921

Зарегистрировано в Минюсте РФ 13 октября 2010 г. N 18704

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 31 августа 2010 года N 489

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ

В соответствии с пунктом 3 Постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 приказываем:

Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.

1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.

2. Контроль за исполнением настоящего Приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.

Федеральной службы безопасности

и экспортному контролю

к Приказу ФСБ России, ФСТЭК России

от 31 августа 2010 г. N 489

ТРЕБОВАНИЯ

О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ОБЩЕГО ПОЛЬЗОВАНИЯ

1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации (далее — информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).

2. Информационные системы общего пользования должны обеспечивать:

сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее — целостность информации);

беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее — доступность информации);

защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих в том числе к уничтожению, модификации и блокированию информации (далее — неправомерные действия).

3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.

6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

11. В информационных системах общего пользования должны быть обеспечены:

поддержание целостности и доступности информации;

предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

своевременное обнаружение фактов неправомерных действий в отношении информации;

недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

проведение мероприятий по постоянному контролю за обеспечением их защищенности;

возможность записи и хранения сетевого трафика.

12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

определение угроз безопасности информации, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы их защиты.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

17.1. В информационных системах общего пользования I класса:

использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;

осуществление регистрации действий обслуживающего персонала и пользователей;

обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;

использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;

осуществление регистрации действий обслуживающего персонала;

обеспечение частичного резервирования технических средств и дублирования массивов информации;

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

Источник

Читайте также:  Причины возникновения короткого замыкания способы предотвращения короткого замыкания
Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.