Обеспечение информационной безопасности - сложная общественно-социальная, правовая, экономическая, научная проблема. Лишь комплексное решение ее целей и задач одновременно в нескольких плоскостях сможет оказать свое регулирующее воздействие на обеспечение информационной безопасности страны. Работы, проводимые в этой области, должны иметь не только практическую направленность, но и научное обоснование.

Основные цели обеспечения информационной безопасности определяются на базе устойчивых приоритетов национальной и экономической безопасности, отвечающих долговременным интересам общественного развития, к которым относятся:

Сохранение и укрепление российской государственности и политической стабильности в обществе;

Сохранение и развитие демократических институтов общества, обеспечение прав и свобод граждан, укрепление законности и правопорядка;

Обеспечение достойного места и роли страны в мировом сообществе;

Обеспечение территориальной целостности страны;

Обеспечение прогрессивного социально-экономического развития;

Сохранение национальных культурных ценностей и традиций.

В соответствии с указанными приоритетами основными задачами обеспечения информационной безопасности являются:

Выявление оценка и прогнозирование источников угроз информационной безопасности;

Разработка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;

Разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и предприятий по обеспечению информационной безопасности;

Развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;

Обеспечение активного участия страны в процессах создания использования глобальных информационных сетей и систем.

Важнейшими принципами обеспечения информационной безопасности являются:

1) законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере;

2) непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;

3) экономическая целесообразность, т е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации

4) комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.

Реализация процесса защиты информации включает несколько этапов:

Определение объекта защиты: права на защиту информационного ресурса, стоимостная оценка информационного ресурса и его основных элементов, длительность жизненного цикла информационного ресурса, траектория информационного процесса по функциональным подразделениям фирмы;

Выявление источников угроз (конкурентов, преступников, сотрудников и др.), целей угроз (ознакомление, модификация, уничтожение и др.), возможных каналов реализации угроз (разглашение, утечка и др.);

Определение необходимых мер защиты;

Оценка их эффективности и экономической целесообразности;

Реализация принятых мер с учетом выбранных критериев;

Доведение принятых мер до персонала, контроль за их эффективностью и устранение (предотвращение) последствий угроз.

Реализация описанных этапов, по сути, является процессом управления информационной безопасностью объекта и обеспечивается системой управления, включающей в себя, кроме самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым, а также механизм управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать достижение минимума информационного ущерба, а целью управления - обеспечение требуемого состояния объекта в смысле его информационной защищенности.

Методы обеспечения информационной безопасности разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности относится разработка нормативно-правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности. Наиболее важными направлениями этой деятельности являются:

Внесение изменений и дополнений в законодательство, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности, устранения внутренних противоречии в федеральном законодательстве, противоречий, связанных с международными соглашениями, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности;

Законодательное разграничение полномочий в области обеспечения определения целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

Разработка и принятие нормативных правовых актов, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

Уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития отечественной информационной инфраструктуры;

Законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

Определение статуса организаций, предоставляющих услуги глобальных информационно-коммуникационных сетей и правовое регулирование деятельности этих организаций;

Создание правовой базы для формирования региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности являются:

Создание и совершенствование системы обеспечения информационной безопасности государства;

Усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

Разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

Создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

Выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-коммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

Сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

Совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

Контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности государства;

Формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают:

Разработку программ обеспечения информационной безопасности государства и определение порядка их финансирования;

Совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Наряду с широким использованием стандартных методов и средств для сферы экономики приоритетными направлениями обеспечения информационной безопасности являются:

Разработка и принятие правовых положений, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ и хищение информации, преднамеренное распространение недостоверной информации, разглашение коммерческой тайны, утечку конфиденциальной информации;

Построение системы государственной статистической отчетности, обеспечивающей достоверность, полноту, сопоставимость и защищенность информации путем введения строгой юридической ответственности первичных источников информации, организации действенного контроля за их деятельностью и деятельностью служб обработки и анализа статистической информации, ограничения ее коммерциализации, использования специальных организационных и программно-технических средств защиты информации;

Создание и совершенствование специальных средств защиты финансовой и коммерческой информации;

Разработка комплекса организационно-технических мероприятий по совершенствованию технологии информационной деятельности и защиты информации в хозяйственных, финансовых, промышленных и других экономических структурах с учетом специфических для сферы экономики требований информационной безопасности;

Совершенствование системы профессионального отбора и подготовки персонала, систем отбора, обработки, анализа и распространения экономической информации.

Государственная политика обеспечения информационной безопасности формирует направления деятельности органов государственной власти и управления в области обеспечения информационной безопасности, включая гарантии прав всех субъектов на информацию, закрепление обязанностей и ответственности государства и его органов за информационную безопасность страны, и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Государственная политика обеспечения информационной безопасности исходит из следующих основных положений:

Ограничение доступа к информации есть исключение из общего принципа открытости информации, и осуществляется только на основе законодательства;

Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется;

Доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;

Формирование государством нормативно-правовой базы, регламентирующей права, обязанности и ответственность всех субъектов, действующих в информационной сфере;

Юридические и физические лица, собирающие, накапливающие и обрабатывающие персональные данные и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;

Обеспечение государством законными средствами защиты общества от ложной, искаженной и недостоверной информации, поступающей через средства массовой информации;

Осуществление государственного контроля за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации;

Проведение протекционистской политики государства, поддерживающей деятельность отечественных производителей средств информатизации и защиты информации и осуществляющей меры по защите внутреннего рынка от проникновения на него некачественных средств информации и информационных продуктов;

Государственная поддержка в деле предоставления гражданам доступа к мировым информационным ресурсам, глобальным информационным сетям,

Формирование государством федеральной программы информационной безопасности, объединяющей усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности страны;

Государство прилагает усилия для противодействия информационной экспансии других стран, поддерживает интернационализацию глобальных информационных сетей и систем.

На основе изложенных принципов и положений определяются общие направления формирования и реализации политики информационной безопасности в политической, экономической и других сферах деятельности государства.

Государственная политика в качестве механизма согласования интересов субъектов информационных отношений и нахождения компромиссных решений предусматривает формирование и организацию эффективной работы различных советов, комитетов и комиссий с широким представительством специалистов и всех заинтересованных структур. Механизмы реализации государственной политики должны быть гибкими и своевременно отражать изменения, происходящие в экономической и политической жизни страны.

Правовое обеспечение информационной безопасности государства является приоритетным направлением формирования механизмов реализации политики обеспечения информационной безопасности и включает в себя:

1) нормотворческую деятельность по созданию законодательства, регулирующего отношения в обществе, связанные с обеспечением информационной безопасности;

2) исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями, гражданами.

Нормотворческая деятельность в области обеспечения информационной безопасности предусматривает:

Оценку состояния действующего законодательства и разработку программы его совершенствования;

Создание организационно-правовых механизмов обеспечения информационной безопасности;

Формирование правового статуса всех субъектов в системе информационной безопасности, пользователей информационных и телекоммуникационных систем и определение их ответственности за обеспечение информационной безопасности;

Разработку организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех видов информации;

Разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействия угроз, восстановления нарушенного права и ресурсов, реализации компенсационных мер.

Исполнительная и правоприменительная деятельность предусматривает разработку процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с конфиденциальной информацией и нарушившим регламент информационных взаимодействий. Вся деятельность по правовому обеспечению информационной безопасности строится на основе трех фундаментальных положений права: соблюдения законности, обеспечения баланса интересов отдельных субъектов и государства, неотвратимости наказания.

Соблюдение законности предполагает наличие законов и иных нормативных установлений, их применение и исполнение субъектами права в области информационной безопасности.

12.3. СОСТОЯНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ

Оценка состояния информационной безопасности государства предполагает оценку существующих угроз. В п. 2 «Доктрины информационной безопасности РФ» 1 выделяются следующие угрозы информационной безопасности Российской Федерации:

Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

Угрозы информационному обеспечению государственной политики Российской Федерации;

Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

__________________________________________________________________

Угрозы безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

К внешним источникам угроз информационной безопасности России относятся:

1) деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против Российской Федерации в информационной сфере;

2) стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационного рынков;

3) обострение международной конкуренции за обладание информационными технологиями и ресурсами;

4) деятельность международных террористических организаций;

5) увеличение технологического отрыва ведущих держав мира наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

6) деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

7) разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

К внутренним источникам угроз информационной безопасности России относятся:

1) критическое состояние отечественных отраслей промышленности;

2) неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере;

3) недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

4) недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

5) неразвитость институтов гражданского общества и недостаточный контроль за развитием информационного рынка России;

6) недостаточная экономическая мощь государства;

7) снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

8) отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, кредит-но-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

За последние годы в России реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.

Успешному решению вопросов обеспечения информационной безопасности РФ способствуют государственная система защиты информации, система защиты государственной тайны и системы сертификации средств защиты информации.

Структуру государственной системы защиты информации составляют:

Органы государственной власти и управления РФ и субъектов РФ, решающие задачи обеспечения информационной безопасности в пределах своей компетенции;

Государственные и межведомственные комиссии и советы, специализирующиеся на проблемах информационной безопасности;

Государственная техническая комиссия при Президенте РФ;

Федеральная служба безопасности РФ;

Министерство внутренних дел РФ;

Министерство обороны РФ;

Федеральное агентство правительственной связи и информации при Президенте РФ;

Служба внешней разведки РФ;

Структурные и межотраслевые подразделения по защите информации органов государственной власти;

Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации;

Учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности.

Государственная техническая комиссия при Президенте РФ, являясь органом государственного управления, осуществляет проведение единой технической политики и координацию работ в области защиты информации, возглавляет государственную систему защиты информации от технических разведок, несет ответственность за обеспечение защиты информации от ее утечки по техническим каналам на территории России, осуществляет контроль эффективности принимаемых мер защиты.

Особое место в системе информационной безопасности занимают государственные и общественные организации, осуществляющие контроль за деятельностью государственных и негосударственных средств массовой информации.

К настоящему времени сформирована законодательная и нормативно-правовая база в сфере информационной безопасности России, которая включает в себя:

1. Законы Российской Федерации:

Конституция РФ;

«О банках и банковской деятельности»;

«О безопасности»;

«О внешней разведке»;

«О государственной тайне»;

«О связи»;

«О сертификации продукции и услуг»;

«О средствах массовой информации»;

«О стандартизации»;

«Об информации, информационных технологиях и о защите информации»;

«Об органах Федеральной службы безопасности в Российской Федерации»;

«Об обязательном экземпляре документов»;

«Об участии в международном информационном обмене»;

«О6 электронно-цифровой подписи» и др.

2. Нормативно-правовые акты Президента Российской Федерации:

«Доктрина информационной безопасности РФ»;

«О стратегии национальной безопасности Российской Федерации до 2020 г»;

«О некоторых вопросах межведомственной комиссии по защите государственной тайны»;

«О перечне сведений, отнесенных к государственной тайне»;

«Об основах государственной политики в сфере информатизации»;

«Об утверждении перечня сведений конфиденциального характера» и др.

З. Нормативные правовые акты Правительства Российской Федерации:

«О сертификации средств защиты информации»;

«О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;

«Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»;

«О лицензировании отдельных видов деятельности» и др.

4. Руководящие документы Гостехкомиссии России:

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;

«Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

«Защита информации. Специальные защитные знаки. Классификация и общие требования»;

«Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не-декларированных возможностей».

5. Гражданский кодекс РФ (часть четвертая).

6. УК РФ.

Международное сотрудничество в области обеспечения информационной безопасности - неотъемлемая составляющая экономического, политического, военного, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Россию. Особенность международного сотрудничества РФ в области обеспечения информационной безопасности заключается в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, за доминирование на рынках сбыта, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружия». Это может привести к новому этапу развертывания гонки вооружений в информационной сфере.

Международное сотрудничество в области информационной безопасности опирается на следующую нормативно-правовую базу:

Соглашение с Республикой Казахстан от 13 января 1995 г, с Москва (Постановление Правительства РФ от 15 мая 1994 г Nч 679);

Соглашение с Украиной от 14 июня 1996 г, г Киев (Постановление Правительства РФ от 7 июня 1996 г Ns 655);

Соглашение с Республикой Беларусь (Проект);

Выдача сертификатов и лицензий при международном информационном обмене (Федеральный закон от 4 июля 1996 г Х 85-ФЗ).

Основными направлениями международного сотрудничества, отвечающими интересам РФ, являются:

Предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских сетях и в каналах информационного обеспечения мировой торговли, к конфиденциальной информации в международных экономических и политических союзах, блоках и организациях, к информации в международных правоохранительных организациях, ведущих борьбу с международной организованной преступностью и международным терроризмом;

Запрещение разработки, распространения и применения «информационного оружия»;

Обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным сетям и каналам связи;

Координация деятельности правоохранительных органов государств - участников международного сотрудничества по предотвращению компьютерных преступлений;

Участие в проведении международных конференций и выставок по проблеме безопасности информации.

Особое внимание в ходе сотрудничества должно быть уделено проблемам взаимодействия со странами СНГ с учетом перспектив создания единого информационного пространства на территории бывшего СССР, в пределах которого используются практически единые телекоммуникационные системы и линии связи.

Вместе с тем анализ состояния информационной безопасности России показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.

Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти персональных данных.

Отсутствует четкость в проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на международный информационный рынок.

Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

Отставание отечественных информационных технологий вынуждает органы государственной власти РФ при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-теле-коммуникационных систем, интеграцией отечественных и международных информационных систем возросли угрозы применения «информационного оружия» против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании.

Контрольные вопросы

1. Каково место информационной безопасности в системе экономической безопасности государства? Покажите на примерах значение информационной безопасности в обеспечении экономической безопасности государства?

2. Чем обусловлено повышение значимости информационной безопасности в современный период?

3. Охарактеризуйте основные категории информационной безопасности: информация, информатизация, документ, информационный процесс, информационная система, информационные ресурсы, персональные данные, конфиденциальная информация.

4. В чем заключаются интересы личности, общества и государства в информационной сфере?

5. Какие существуют виды угроз информационной безопасности?

6. Назовите способы воздействия угроз на объекты информационной безопасности.

7. Объясните понятие «информационная война».

8. Перечислите внешние источники угроз информационной безопасности России.

9. Перечислите внутренние источники угроз информационной безопасности России.

10. Какие нормативные акты обеспечивают информационную безопасность на территории РФ?

11. Какие международные нормативные акты в сфере защиты информации вы знаете?

12. В чем заключается суть государственной политики обеспечения информационной безопасности?

13. Перечислите методы обеспечения информационной безопасности.

14. Охарактеризуйте структуру государственной системы защиты информации

15. Дайте оценку состояния информационной безопасности России.

Аннотация: В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ " Об информации, информационных технологиях и о защите информации".

ГОСТ " Защита информации . Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .

• Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
• Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
• Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ , ]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником . Потенциальные злоумышленники называются источниками угрозы .

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

• по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
• по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
• по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
• по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:

1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
2. административный – комплекс мер, предпринимаемых локально руководством организации;
3. процедурный уровень – меры безопасности, реализуемые людьми;
4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .

1.2. ФЗ "Об информации, информационных технологиях и о защите информации"

В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

• осуществлении права на поиск, получение, передачу, производство и распространение информации;
• применении информационных технологий;
• обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

• информация - сведения (сообщения, данные) независимо от формы их представления;
• информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
• информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
• оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
• конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя .

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2. установление ограничений доступа к информации только федеральными законами;
3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6. достоверность информации и своевременность ее предоставления;
7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа . К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

1. информацию, свободно распространяемую;
2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2. соблюдение конфиденциальности информации ограниченного доступа;
3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2. своевременное обнаружение фактов несанкционированного доступа к информации;
3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Когда мы говорим об угрозе информационной безопасности, как правило, нам представляется опытный хакер, день и ночь скрупулезно изучающий малейшие бреши в защите баз данных. Однако, как показывает практика, часто беда приходит изнутри компании - по недосмотру, или же по злому умыслу, конфиденциальная информация утекает именно через сотрудников организации.

Целый ряд серьёзных специалистов по информационной безопасности организации называет внутреннюю угрозу важнейшей, отдавая ей до 80% от общего числа потенциальных рисков. Действительно, если рассмотреть средний ущерб от хакерских атак, то он будет близиться к нулю, ввиду большого числа попыток взлома и весьма низкой их результативности. Единичный же случай ошибки персонала или успешного злодеяния инсайдера может стоить компании многомиллионных убытков (прямых и косвенных), судебных разбирательств и дурной славы в глазах клиентов. По факту, под угрозой может оказаться само существование фирмы и это, увы, реальность. Как обеспечить? Как защититься от утечек информации? Как вовремя распознать и предотвратить внутреннюю угрозу? Какие методы борьбы с ней наиболее эффективны сегодня?

Враг внутри

Внутренним злоумышленником, или инсайдером, может стать практически любой сотрудник, имеющий доступ к конфиденциальной информации компании. Мотивация действий инсайдера не всегда очевидна, что влечёт за собой значительные трудности в его идентификации. Недавно уволенный сотрудник, затаивший обиду на работодателя; нечистый на руку работник, желающий подзаработать на продаже данных; современный Герострат; специально внедрённый агент конкурента или преступной группы - вот лишь несколько архетипов инсайдера.

Корень всех бед, которые могут принести злоумышленные действия инсайдеров, кроется в недооценке важности этой угрозы. Согласно исследованию проведённому компанией Perimetrix, утечка более 20% конфиденциальной информации фирмы в большинстве случаев ведёт за собой её крах и банкротство. Особенно частой, но до сих пор наиболее уязвимой жертвой инсайдеров становятся финансовые учреждения, причём любого размера - со штатом от сотни до нескольких тысяч работников. Несмотря на то, что в большинстве случаев компании стараются скрыть или существенно занизить реальные цифры ущерба от действий инсайдеров, даже официально оглашаемые суммы убытков поистине впечатляют. Гораздо больнее финансовых потерь по компании бьёт ущерб репутации фирмы и резкое снижение доверия клиентов. Зачастую, непрямые потери могут многократно превышать фактический прямой ущерб. Так, широко известен случай с лихтенштейнским банком LGT, когда в 2008 году сотрудник банка передал базу данных по вкладчикам спецслужбам Германии, США, Великобритании и других стран. Как оказалось, огромное количество иностранных клиентов банка использовали особый статус LGT для проведения транзакций в обход действующих в их странах налоговых законов. По миру прокатилась волна финансовых расследований и связанных с ними судебных разбирательств, а банк LGT растерял всех своих значимых клиентов, понёс критические потери и вверг весь Лихтенштейн в тяжелый экономический и дипломатический кризис. За совсем свежими примерами тоже не нужно ходить далеко - в начале 2011 года факт утечки персональных данных клиентов признал такой финансовый гигант, как Bank of America. В результате мошеннических действий, из банка утекла информация с именами, адресами, номерами социального страхования и телефонов, номерами банковских счетов и водительских прав, адресами электронной почты, PIN-кодами и прочими личными данными вкладчиков. Едва ли удастся точно определить реальный масштаб потерь банка, если только официально было заявлено о сумме «более 10 миллионов долларов». Причина утечки данных - действия инсайдера, который передавал информацию организованной преступной группе. Впрочем, под угрозой инсайдерских атак не только банки и фонды, достаточно будет вспомнить целый ряд громких скандалов, связанных с публикаций конфиденциальных данных на ресурсе WikiLeaks - по оценке специалистов, изрядная доля информации была получена именно через инсайдеров.

Проза жизни

Непредумышленное причинение вреда конфиденциальным данным компании, их утечка или потеря - вещь куда более частая и прозаическая, чем вред, наносимый инсайдерами. Безалаберность персонала и отсутствие должного технического обеспечения информационной безопасности может стать причиной прямой утечки корпоративных секретов. Такая халатность несёт не только серьёзные убытки бюджету и репутации компании, но и может вызывать широкий общественный диссонанс. Вырвавшись на волю, секретная информация становится достоянием не узкого круга злоумышленников, а всего информационного пространства - утечку обсуждают в интернете, на телевидении, в прессе. Вспомним громкий скандал с публикацией SMS-сообщений крупнейшего российского оператора сотовой связи «Мегафон». Из-за невнимательности технического персонала, смс-сообщения были проиндексированы интернет-поисковиками, в сеть попала переписка абонентов, содержащая информацию как личного, так и делового характера. Совсем недавний случай: публикация личных данных клиентов Пенсионного фонда России. Ошибка представителей одного из региональных представительств фонда привела к индексации персональной информации 600 человек - имена, регистрационные номера, подробные суммы накоплений клиентов ПФР мог прочитать любой пользователь интернета.

Очень частая причина утечек конфиденциальных данных по неосторожности связана с ежедневной ротацией документов внутри компании. Так, например, сотрудник может скопировать файл, содержащий секретные данные, на портативный компьютер, USB-носитель или КПК для работы с данными вне офиса. Также, информация может попасть на файлообменник или личную почту работника. При подобных ситуациях, данные оказываются полностью беззащитными для злоумышленников, которые могут воспользоваться непреднамеренной утечкой.

Золотые доспехи или бронежилет?

Для защиты от утечки данных в индустрии информационной безопасности создаются разнообразные системы защиты информации от утечки, традиционно обозначаемых аббревиатурой DLP от англ. Data Leakage Prevention («предотвращение утечки данных»). Как правило, это сложнейшие программные комплексы, имеющие широкий функционал по предотвращению злоумышленной или случайной утечки секретной информации. Особенностью таких систем является то, что для корректной их работы требуется строго отлаженная структура внутреннего оборота информации и документов, поскольку анализ безопасности всех действий с информацией строится на работе с базами данных. Этим объясняется высокая стоимость установки профессиональных DLP-решений: ещё перед непосредственным внедрением, компании-клиенту приходится приобретать систему управления базами данных (как правило, Oracle или SQL), заказывать дорогостоящий анализ и аудит структуры оборота информации, вырабатывать новую политику безопасности. Обычной является ситуация, когда в компании неструктурированно более 80% информации, что даёт зрительное представление о масштабе подготовительных мероприятий. Разумеется, сама DLP-система тоже стоит немалых денег. Неудивительно, что профессиональную DLP-систему могут себе позволить только крупные компании, готовые тратить миллионы на информационную безопасность организации .

Но что же делать предприятиям среднего и малого бизнеса, которым требуется обеспечить информационную безопасность бизнеса , но средств и возможностей на внедрение профессиональной DLP-системы нет? Самое важное для руководителя компании или офицера службы безопасности определить, какую информацию защищать и какие стороны информационной деятельности сотрудников подвергать контролю. В российском бизнесе до сих пор преобладает мнение, что защищать нужно абсолютно все, без классификации информации и расчета эффективности средств защиты. При таком подходе совершенно очевидно, что узнав суммы расходов на информационную безопасность предприятия , руководитель среднего и малого бизнеса машет рукой и надеется на «авось».

Существуют альтернативные способы защиты, которые не затрагивают базы данных и сложившийся жизненный цикл информации, но дают надёжную защиту от действий злоумышленников и халатности сотрудников. Это гибкие модульные комплексы, которые без проблем работают с другими средствами безопасности, как аппаратными, так и программными (например, с антивирусами). Грамотно составленная система безопасности даёт очень надёжную защиту как от внешних, так и от внутренних угроз, предоставляя идеальный баланс цены и функционала. По мнению специалистов российской компании-разработчика систем информационной безопасности SafenSoft, оптимальным является сочетание элементов защиты от внешних угроз (например, HIPS для предотвращения вторжений, плюс антивирусный сканер) со средствами мониторинга и контроля доступа пользователей и приложений к отдельным секторам информации. При таком подходе вся сетевая структура организации полностью защищена от возможного взлома или инфицирования вирусами, а средства контроля и наблюдения за действиями персонала при работе с информацией позволяют эффективно препятствовать утечкам данных. При наличии всего необходимого арсенала защитных средств, стоимость модульных систем в десятки раз меньше комплексных DLP-решений и не требует никаких затрат на предварительный анализ и адаптацию информационной структуры компании.

Итак, подведём итоги. Угрозы информационной безопасности предприятия совершенно реальны, их нельзя недооценивать. Кроме противодействия внешним угрозам особое внимание следует уделить угрозам внутренним. Важно помнить, что утечки корпоративных секретов случаются не только по злому умыслу - как правило, их причина в элементарной халатности и невнимательности работника. При выборе средств защиты не нужно пытаться охватить все мыслимые и немыслимые угрозы, на это просто не хватит денег и сил. Постройте надёжную модульную систему безопасности, закрытую от рисков вторжения извне и позволяющую осуществлять контроль и мониторинг за потоком информации внутри компании.

Информационная безопасность предприятия - это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и проч.

Задачи систем информационной безопасности предприятия многообразны. Это обеспечение защищённого хранения информации на разных носителях; защита данных, передаваемых по каналам связи; разграничение доступа к различным видам документов; создание резервных копий, послеаварийное восстановление информационных систем и т.д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе ИБ должны учитываться все актуальные компьютерные угрозы и уязвимости.

Полноценная информационная безопасность предприятий и организаций подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.

На уровне предприятия за информационную безопасность отвечают отделы информационных технологий, экономической безопасности, кадров и другие службы.

Политика Информационной Безопасности.

1. Общие положения

Настоящая Политика информационной безопасности (далее – Политика ) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач, а также организационных, технологических и процедурных аспектов обеспечения безопасности информации объектов информационной инфраструктуры, включающих совокупность информационных центров, банков данных и систем связи организации. Настоящая Политика разработана с учетом требований действующего законодательства РФ и ближайших перспектив развития объектов информационной инфраструктуры, а также характеристик и возможностей современных организационно-технических методов и аппаратно-программных средств защиты информации.

Основные положения и требования Политики распространяются на все структурные подразделения организации.

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации.

Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов информационной инфраструктуры, защиты от стихийных бедствий, и сбоев в системе энергоснабжения, однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности организации в целом.

Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

В Политике используются следующие термины и определения:

Автоматизированная система (АС ) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная инфраструктура — система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Информационная инфраструктура включает совокупность информационных центров, банков данных и знаний, систем связи, обеспечивает доступ потребителей к информационным ресурсам.

Информационные ресурсы (ИР ) – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, базах данных и других информационных системах ).

Информационная система (ИС ) - система обработки информации и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д. ), которые обеспечивают и распространяют информацию.

Безопасность — состояние защищенности интересов (целей ) организации в условиях угроз.

Информационная безопасность (ИБ ) — безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей ) организации.

Доступность информационных активов — свойство ИБ организации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.

Целостность информационных активов — свойство ИБ организации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

Конфиденциальность информационных активов — свойство ИБ организации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

Система информационной безопасности (СИБ ) — совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное ) обеспечение.

Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации или получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Общие требования по обеспечению информационной безопасности

Требования информационной безопасности (далее — ИБ ) определяют содержание и цели деятельности организации в рамках процессов управления ИБ.

Эти требования формулируются для следующих областей:

• назначение и распределение ролей и доверия к персоналу;
• стадий жизненного цикла объектов информационной инфраструктуры;
• защиты от несанкционированного доступа (далее — НСД ), управления доступом и регистрацией в автоматизированных системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
• антивирусной защиты;
• использования ресурсов Интернет;
• использования средств криптографической защиты информации;
• защиты персональных данных.

3. Объекты, подлежащие защите

Основными объектами, подлежащими защите, являются:

• информационные ресурсы , представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию;
• система формирования, распространения и использования информационных ресурсов , библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, технический и обслуживающий персонал;
• информационная инфраструктура , включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты информационной инфраструктуры.

3.1. Особенности Автоматизированной системы

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой корпоративной сети.

В ряде подсистем АС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными ) организациями по коммутируемым и выделенным каналам связи с использованием специальных средств передачи информации.

Комплекс технических средств АС включает средства обработки данных (рабочие станции, серверы БД, почтовые серверы и т.п. ), средства обмена данными в локальных вычислительных сетях с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д. ), а также средства хранения (в т.ч. архивирования ) данных.

К основным особенностям функционирования АС относятся:

• необходимость объединения в единую систему большого количества разнообразных технических средств обработки и передачи информации;
• большое разнообразие решаемых задач и типов, обрабатываемых данных;
• объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
• наличие каналов подключения к внешним сетям;
• непрерывность функционирования;
• наличие подсистем с различными требованиями по уровням защищенности, физически объединенных в единую сеть;
• разнообразие категорий пользователей и обслуживающего персонала.

В общем виде, единая АС представляет собой совокупность локальных вычислительных сетей подразделений, объединенных между собой средствами телекоммуникаций. Каждая локальная вычислительная сеть объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков ), обеспечивающих решение задач отдельными структурными подразделениями организации.

Объекты информатизации включают:

• технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование );
• информационные ресурсы;
• программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение );
• автоматизированные системы связи и передачи данных (средства телекоммуникации);
• каналы связи;
• служебные помещения.

3.2. Типы информационных активов организации, подлежащих защите

В подсистемах АС организации циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, персональные данные ) и открытые сведения.

В документообороте АС присутствуют:

• платежные поручения и финансовые документы;
• отчеты (финансовые, аналитические и др. );
• сведения о лицевых счетах;
• персональные данные;
• другая информация ограниченного распространения.

Защите подлежит вся информация, циркулирующая в АС и содержащаяся в следующих типах информационных активов:

• сведения, составляющие коммерческую и служебную тайну, доступ к которым ограничен организацией, как собственником информации, в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации » правами и Федеральным законом «О коммерческой тайне »;
• персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных »;
• открытые сведения, в части обеспечения целостности и доступности информации.

3.3. Категории пользователей Автоматизированной системы

В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным ресурсам АС:

• простые пользователи (конечные пользователи, работники подразделений организации );
• администраторы серверов (файловых серверов, серверов приложений, серверов баз данных ), локальных вычислительных сетей и прикладных систем;
• системные программисты (ответственные за сопровождение общего программного обеспечения ) на серверах и рабочих станциях пользователей;
• разработчики прикладного программного обеспечения;
• специалисты по обслуживанию технических средств вычислительной техники;
• администраторы информационной безопасности и др.

3.4. Уязвимость основных компонентов Автоматизированной системы

Наиболее уязвимыми компонентами АС являются сетевые рабочие станции – автоматизированные рабочие места (далее – АРМ ) работников. С АРМ работников могут быть предприняты попытки несанкционированного доступа к информации или попытки несанкционированных действий (непреднамеренных и умышленных ) в компьютерной сети. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Недостатки протоколов обмена и средств разграничения доступа к ресурсам серверов могут дать возможность несанкционированного доступа к защищаемой информации и оказания влияния на работу различных подсистем. При этом могут предприниматься попытки как удаленного (со станций сети ), так и непосредственного (с консоли сервера ) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, концентраторы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

4. Основные принципы обеспечения информационной безопасности

4.1. Общие принципы безопасного функционирования

• Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на его бизнес-цели.
• Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
• Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем.
• Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
• Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
• Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
• Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
• Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

4.2. Специальные принципы обеспечения информационной безопасности

• Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
• Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутреннем документе. Неопределенность приводит к “расплывчатости ” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
• Знание своих клиентов и работников. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (работников ), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
• Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
• Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
• Доступность услуг и сервисов. Организация должна обеспечить для своих клиентов и контрагентов доступность услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями ) и/или иными документами.
• Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно, наблюдаем (прозрачен ) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

5. Цели и задачи обеспечения информации безопасности

5.1. Субъекты информационных отношений в Автоматизированной системе

Субъектами правоотношений при использовании АС и обеспечении безопасности информации являются:

• Организация как собственник информационных ресурсов;
• подразделения организации, обеспечивающие эксплуатацию АС;
• работники структурных подразделений организации, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
• юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС;
• другие юридические и физические лица, задействованные в процессе создания и функционирования АС (разработчики компонент системы, организации, привлекаемые для оказания различных услуг в области информационных технологий и др. ).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

• конфиденциальности определенной части информации;
• достоверности (полноты, точности, адекватности, целостности ) информации;
• защиты от навязывания ложной (недостоверной, искаженной ) информации;
• своевременного доступа к необходимой информации;
• разграничения ответственности за нарушения законных прав (интересов ) других субъектов информационных отношений и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п. ).

5.2. Цель обеспечения безопасности информации

Основной целью обеспечения безопасности информации является защита субъектов информационных отношений от возможного нанесения им материального, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

• доступности обрабатываемой информации для зарегистрированных пользователей;
• конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
• целостности и аутентичности информации, хранимой, обрабатываемой и передаваемой по каналам связи.

5.3. Задачи обеспечения безопасности информации

Для достижения основной цели обеспечения безопасности информации система информационной безопасности АС должна обеспечивать эффективное решение следующих задач:

• защиту от вмешательства в процесс функционирования АС посторонних лиц;
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС, то есть защиту от несанкционированного доступа;
• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
• защиту от несанкционированной модификации и контроль целостности (обеспечение неизменности ) среды исполнения программ и ее восстановление в случае нарушения;
• защиту от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
• защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
• обеспечение аутентификации пользователей, участвующих в информационном обмене;
• обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
• своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

5.4. Пути решения задач обеспечения безопасности информации

Решение задач обеспечения безопасности информации достигается:

• строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ );
• регламентацией процессов обработки информации и действий работников структурных подразделений организации, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• назначением и подготовкой работников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;
• наделением каждого работника минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
• четким знанием и строгим соблюдением всеми работниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
• реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
• принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
• применением технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
• разграничением потоков информации и запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
• эффективным контролем за соблюдением работниками требований по обеспечению безопасности информации;
• постоянным мониторингом сетевых ресурсов, выявлением уязвимостей, своевременным обнаружением и нейтрализацией внешних и внутренних угроз безопасности компьютерной сети;
• юридической защитой интересов организации от противоправных действий в области информационной безопасности.
• проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС.

6.Угрозы безопасности информации

6.1. Угрозы безопасности информации и их источники

Наиболее опасными угрозами безопасности информации, обрабатываемой в АС, являются:

• нарушение конфиденциальности (разглашение, утечка ) сведений, составляющих служебную или коммерческую тайну, в том числе персональных данных;
• нарушение работоспособности (дезорганизация работы ) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение ) информационных, программных и других ресурсов АС.

Основными источниками угроз безопасности информации АС являются:

• неблагоприятные события природного и техногенного характера;
• террористы, криминальные элементы;
• компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
• поставщики программно-технических средств, расходных материалов, услуг и т.п.;
• подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
• несоответствие требованиям надзорных и регулирующих органов, действующему законодательству;
• сбои, отказы, разрушения/повреждения программных и технических средств;
• работники, являющиеся легальными участниками процессов в АС и действующие вне рамок предоставленных полномочий;
• работники, являющиеся легальными участниками процессов в АС и действующие в рамках предоставленных полномочий.

6.2. Непреднамеренные действия, приводящие к нарушению информационной безопасности, и меры по их предотвращению

Работники организации, имеющие непосредственный доступ к процессам обработки информации в АС, являются потенциальным источником непреднамеренных случайных действий, которые могут привести к нарушению информационной безопасности.

Основные непреднамеренные действия, приводящие к нарушению информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла ) и меры по предотвращению подобных действий и минимизации наносимого ими ущерба приведены в Таблице 1 .

Таблица 1

Основные действия, приводящие к нарушению информационной безопасности
Действия работников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п. )	Организационные меры (). Применение физических средств, препятствующих неумышленному совершению нарушения. Применение технических (аппаратно-программных ) средств разграничения доступа к ресурсам. Резервирование критичных ресурсов.
Несанкционированный запуск программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания ) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п. )	Организационные меры (удаление всех потенциально опасных программ с АРМ ). Применение технических (аппаратно-программных ) средств разграничения доступа к программам на АРМ.
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения работниками своих служебных обязанностей ) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п. )	Организационные меры (введение запретов ). Применение технических (аппаратно-программных ) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.
Непреднамеренное заражение компьютера вирусами	Организационные меры (регламентация действий, введение запретов ). Технологические меры (применение специальных программ обнаружения и уничтожения вирусов ). Применение аппаратно-программных средств, препятствующих заражению компьютерными вирусами.
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭП, идентификационных карточек, пропусков и т.п. )	Организационные меры (регламентация действий, введение запретов, усиление ответственности ). Применение физических средств обеспечения сохранности указанных реквизитов.
Игнорирование организационных ограничений (установленных правил ) при работе в системе	Организационные меры (). Использование дополнительных физических и технических средств защиты.
Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности	Организационные меры (обучение персонала, усиление ответственности и контроля ).
Ввод ошибочных данных	Организационные меры (усиление ответственности и контроля ). Технологические меры контроля за ошибками операторов ввода данных.

6.3. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Основные умышленные действия (с корыстными целями, по принуждению, из желания отомстить и т.п. ), приводящие к нарушению информационной безопасности АС, и меры по их предотвращению и снижению возможного наносимого ущерба приведены в Таблице 2 .

Таблица 2

Основные умышленные действия, приводящие к нарушению информационной безопасности	Меры по предотвращению угроз и минимизации ущерба
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п. ), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п. )	Организационные меры (регламентация действий, введение запретов ). Применение физических средств, препятствующих умышленному совершению нарушения. Резервирование критичных ресурсов.
Внедрение агентов в число персонала системы (в том числе, в административную группу, отвечающую за безопасность ), вербовка (путем подкупа, шантажа, угроз и т.п. ) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам	Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности ). Автоматическая регистрация действий персонала.
Хищение носителей информации (распечаток, магнитных дисков, лент, запоминающих устройств и целых ПЭВМ ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п. )	Организационные меры ().
Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств	Организационные меры (организация хранения и использования носителей с защищаемой информацией ). Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.
Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д. ) с последующей маскировкой под зарегистрированного пользователя.	Организационные меры (регламентация действий, введение запретов, работа с кадрами ). Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.
Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.	Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ ). Применение физических и технических средств разграничения доступа.
Несанкционированная модификация программного обеспечения – внедрение программных «закладок» и «вирусов» («троянских коней» и «жучков» ), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы	Организационные меры (строгая регламентация допуска к работам ). Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ. Применение средств контроля целостности программ.
Перехват данных, передаваемых по каналам связи, их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в сеть и авторизации пользователей, с последующими попытками их имитации для проникновения в систему	Физическая защита каналов связи. Применение средств криптографической защиты передаваемой информации.
Вмешательство в процесс функционирования системы из сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.	Организационные меры (регламентация подключения и работы в сетях общего пользования ). Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п. ).

6.4. Утечка информации по техническим каналам

При эксплуатации технических средств АС возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

• побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
• наводки информативного сигнала, обрабатываемого на средствах электронно-вычислительной техники, на провода и линии, выходящие за пределы контролируемой зоны офисов, в т.ч. на цепи заземления и электропитания;
• различные электронные устройства перехвата информации (в т.ч. «закладки» ), подключенные к каналам связи или техническим средствам обработки информации;
• просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
• воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения ) информации, работоспособности технических средств, средств защиты информации и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки» ).

С учетом специфики обработки и обеспечения безопасности информации угрозы утечки конфиденциальной информации (в том числе персональных данных ) по техническим каналам являются для организации неактуальными.

6.5. Неформальная модель вероятного нарушителя

Нарушитель — это лицо, которое предприняло попытку выполнения запрещенных операций (действий ) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов ) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п. ) и использующее для этого различные возможности, методы и средства.

Система защиты АС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др. ):

• «Неопытный (невнимательный) пользователь » – работник, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему ) аппаратные и программные средства.
• «Любитель » — работник, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса ». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей ), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции ) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств ). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты ), самостоятельно разработанные программы или стандартные дополнительные технические средства.
• «Мошенник » – работник, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему ) аппаратные и программные средства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п. ).
• «Внешний нарушитель (злоумышленник) » — постороннее лицо или бывший работник, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола ), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС организации.
• «Внутренний злоумышленник » — работник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с лицами, не являющимися работниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ ), а также комбинации воздействий как изнутри, так и из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала:

• зарегистрированные конечные пользователи АС (работники подразделений и филиалов );
• работники, не допущенные к работе с АС;
• персонал, обслуживающий технические средства АС (инженеры, техники );
• работники подразделений разработки и сопровождения программного обеспечения (прикладные и системные программисты );
• технический персонал, обслуживающий здания и помещения организации (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компоненты АС );
• руководители различных уровней.

• уволенные работники;
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго- , водо- , теплоснабжения и т.п. );
• представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
• члены преступных организаций и конкурирующих коммерческих структур или лица, действующие по их заданию;
• лица, случайно или умышленно проникшие в сети из внешних сетей («хакеры» ).

Пользователи и обслуживающий персонал из числа работников имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации. Действия этой группы нарушителей напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные работники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников организации всеми доступными им силами и средствами.

Хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу они представляют при взаимодействии с работающими или уволенными работниками и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

7. Техническая политика в области обеспечения безопасности информации

7.1. Основные положения технической политики

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия ), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение ), а отдельные разрабатываемые элементы АС должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных ) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС является обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала ) к работам, документам и информации конфиденциального характера;
• ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается ) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации в подсистемах различного уровня и назначения, входящих в АС;
• учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
• криптографическая защита информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
• надежное хранение машинных носителей информации, криптографических ключей (ключевой информации ) и их обращение, исключающее хищение, подмену и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• снижение уровня и информативности побочных излучений и наводок, создаваемых различными элементами автоматизированных подсистем;
• электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
• противодействие оптическим и лазерным средствам наблюдения.

7.2. Формирование режима безопасности информации

С учетом выявленных угроз безопасности АС режим безопасности информации должен формироваться как совокупность способов и мер защиты циркулирующей в АС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима безопасности информации включает:

• установление в АС организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство );
• выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам;
• организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа ) к информационным ресурсам АС;
• комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.

8. Меры, методы и средства обеспечения безопасности информации

8.1. Организационные меры

Организационные меры — это меры организационного характера, регламентирующие процессы функционирования АС, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности и снизить размер ущерба в случае их реализации.

8.1.1. Формирование политики безопасности

Главная цель организационных мер — сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности АС целесообразно разбить на два уровня. К верхнему уровню относятся решения, затрагивающие деятельность организации в целом. Примером таких решений могут быть:

• формирование или пересмотр комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
• формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
• принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне организации в целом;
• обеспечение нормативной (правовой ) базы вопросов безопасности и т.п.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

• какова область применения политики безопасности информации;
• каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
• кто имеет права доступа к информации ограниченного распространения;
• кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

• предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
• определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
• выбирать программные и аппаратные средства криптографической защиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

8.1.2. Регламентация доступа к техническим средствам

Эксплуатация защищенных АРМ и серверов Банка должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п. ). Размещение и установка технических средств таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой ) информации лицами, не имеющими к ней отношения. Уборка помещений с установленным в них оборудованием должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану.

Для хранения служебных документов и машинных носителей с защищаемой информацией работники обеспечиваются металлическими шкафами, а также средствами уничтожения документов.

Технические средства, которые используются для обработки или хранения конфиденциальной информации должны опечатываться.

8.1.3. Регламентация допуска работников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей АС информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение ) с помощью заданных программно-технических средств доступа.

Допуск работников к работе с АС и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком.

Основными пользователями информации в АС являются работники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

• открытая и конфиденциальная информация размещаются по возможности на различных серверах;
• каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
• начальник имеет права на просмотр информации своих подчиненных;
• наиболее ответственные технологические операции должны производиться по правилу «в две руки» — правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все работники, допущенные к работе в АС и обслуживающий персонал АС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый работник при приеме на работу должен подписывать Обязательство о соблюдении требований по сохранению конфиденциальной информации и ответственности за их нарушение, а также о выполнении правил работы с защищаемой информацией в АС.

Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (порядками ) для данных подсистем.

Для пользователей, защищенных АРМ должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

8.1.4. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных в АС и допуск работников к работе с этими базами данных должны быть строго регламентированы. Любые изменения состава и полномочий пользователей баз данных АС должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на работников Департамента информационных технологий. При этом могут использоваться как штатные, так и дополнительные средства защиты СУБД и операционных систем.

8.1.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (задачи, программы, АРМ ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных ).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, USB, LPT порты, дисководы НГМД, CD и другие носители информации ) на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами ).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств, существующих АРМ в АС организации должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами организации, полученное или приобретенной у фирм-производителей ) должно установленным порядком проходить испытания и передаваться в депозитарий программ организации. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из депозитария программные средства. Использование в АС программного обеспечения, не учтенного в депозитарии программ, должно быть запрещено.

Разработка программного обеспечения, проведение испытаний разработанного и приобретенного программного обеспечения, передача программного обеспечения в эксплуатацию должна осуществляться в соответствии с установленным порядком.

8.1.6. Подготовка и обучение пользователей

До предоставления доступа к АС ее пользователи, а также руководящий и обслуживающий персонал должны быть ознакомлены с перечнем конфиденциальной информации и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки такой информации.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает в АС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все работники, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите АС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под подпись.

8.1.7. Ответственность за нарушение требований информационной безопасности

По каждому серьезному нарушению требований информационной безопасности работниками организации должно проводиться служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

• индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
• проверка подлинности пользователей (аутентификация ) на основе паролей, ключей на различной физической основе и т.п.;
• регистрация (протоколирование ) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д. ).

8.2. Технические средства защиты

Технические (аппаратно-программные ) средства защиты — различные электронные устройства и специальные программы, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д. ).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

• средства аутентификации пользователей и элементов АС (терминалов, задач, элементов баз данных и т.п. ), соответствующих степени конфиденциальности информации и обрабатываемых данных;
• средства разграничения доступа к данным;
• средства криптографической защиты информации в линиях передачи данных и в базах данных;
• средства регистрации обращения и контроля за использованием защищаемой информации;
• средства реагирования на обнаруженный НСД или попытки НСД;
• средства снижения уровня и информативности побочных излучений и наводок;
• средства защиты от оптических средств наблюдения;
• средства защиты от вирусов и вредоносных программ;
• средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается оборудование.

На технические средства защиты от НСД возлагается решение следующих основных задач:

• идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п. );
• регламентация доступа пользователей к физическим устройствам рабочих станций (дискам, портам ввода-вывода );
• избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
• полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
• создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
• защита от проникновения компьютерных вирусов и вредоносных программ;
• контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
• регистрация действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
• защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
• централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
• регистрация всех событий НСД, происходящих на рабочих станциях;
• оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости ) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

• физическая целостность всех компонент АС обеспечена;
• каждый работник (пользователь системы ) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
• использование на рабочих станциях инструментальных и технологических программ (тестовых утилит, отладчиков и т.п. ), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
• в защищенной системе нет программирующих пользователей, а разработка и отладка программ осуществляется за пределами защищенной системы;
• все изменения конфигурации технических и программных средств производятся строго установленным порядком;
• сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п. ) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п. );
• службой информационной безопасности осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.

8.2.1. Средства идентификации и аутентификации пользователей

В целях предотвращения доступа в АС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте ) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности ) пользователей должна осуществляться на основе использования паролей (секретных слов) или специальных средств аутентификации проверки уникальных характеристик (параметров) пользователей.

8.2.2. Средства разграничения доступа к ресурсам Автоматизированной системы

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю, т.е. какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

• на контролируемую территорию;
• в отдельные помещения;
• к элементам АС и элементам системы защиты информации (физический доступ );
• к ресурсам АС (программно-математический доступ );
• к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д. );
• к активным ресурсам (прикладным программам, задачам, формам запросов и т.п. );
• к операционной системе, системным программам и программам защиты и т.п.

8.2.3. Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• средствами подсчета контрольных сумм;
• средствами электронной подписи;
• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности );
• средствами разграничения доступа (запрет доступа с правами модификации или удаления ).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

• дублирование системных таблиц и данных;
• дуплексирование и зеркальное отображение данных на дисках;
• отслеживание транзакций;
• периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
• антивирусная защита и контроль;
• резервное копирование данных по заранее установленной схеме.

8.2.4. Средства контроля событий безопасности

Средства контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п. ), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля должны предоставлять возможности:

• постоянного контроля ключевых узлов сети и сетеобразующего коммуникационного оборудования, а также сетевой активности в ключевых сегментах сети;
• контроля использования пользователями корпоративных и публичных сетевых сервисов;
• ведения и анализа журналов регистрации событий безопасности;
• своевременным обнаружением внешних и внутренних угроз информационной безопасности.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

• дата и время события;
• идентификатор субъекта (пользователя, программы ), осуществляющего регистрируемое действие;
• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа ).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

• вход пользователя в систему;
• вход пользователя в сеть;
• неудачная попытка входа в систему или сеть (неправильный ввод пароля );
• подключение к файловому серверу;
• запуск программы;
• завершение программы;
• попытка запуска программы, недоступной для запуска;
• попытка получения доступа к недоступному каталогу;
• попытка чтения/записи информации с диска, недоступного пользователю;
• попытка запуска программы с диска, недоступного пользователю;
• нарушение целостности программ и данных системы защиты и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности ):

• извещение владельца информации о НСД к его данным;
• снятие программы (задания ) с дальнейшего выполнения;
• извещение администратора баз данных и администратора безопасности;
• отключение терминала (рабочей станции ), с которого были осуществлены попытки НСД к информации или неправомерные действия в сети;
• исключение нарушителя из списка зарегистрированных пользователей;
• подача сигнала тревоги и др.

8.2.5. Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи и хранении на машинных носителях информации.

Все средства криптографической защиты информации в АС должны строиться на основе базисного криптографического ядра. На право использования криптографических средств информации организация должна иметь установленные законодательством лицензии.

Ключевая система применяемых в АС средств криптографической защиты должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе средств абонентского и канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться стандартизованные алгоритмы электронной подписи.

8.3. Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические ) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой управления, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на работников департамента информационных технологий и департамента экономической безопасности.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

8.4. Контроль эффективности системы защиты

Контроль эффективности системы защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Оценка эффективности мер защиты информации проводится с использованием организационных, технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

8.5. Особенности обеспечения информационной безопасности персональных данных

Классификация персональных данных проводится в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

• О персональных данных ” к специальным категориям персональных данных;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к биометрическим персональным данным;
• персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к общедоступным или обезличенным персональным данным.

Передача персональных данных третьему лицу должна осуществляться на основании Федерального закона или согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Организация должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в сроки, установленные законодательством РФ в следующих случаях:

• по достижении целей обработки или при утрате необходимости в их достижении;
• по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
• при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

В организации должны быть определены и документально зафиксированы:

• порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных );
• порядок обработки обращений субъектов персональных данных (или их законных представителей ) по вопросам обработки их персональных данных;
• порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных;
• подход к отнесению АС к информационным системам персональных данных (далее — ИСПДн );
• перечень ИСПДн. В перечень ИСПДн должны быть включены АС, целью создания и использования которых является обработка персональных данных.

Для каждой ИСПДн должны быть определены и документально зафиксированы:

• цель обработки персональных данных;
• объем и содержание обрабатываемых персональных данных;
• перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

Требования по обеспечению безопасности персональных данных в ИСПДн в об­щем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.

Организация выполнения и (или ) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персо­нальных данных, либо на договорной основе организацией - контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Создание ИСПДн организации должно включать разработку и согласование (утверждение ) предусмотренной техническим заданием организационно­ распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации долж­ны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника), ответст­венного за обеспечение безопасности персональных данных.

Все информационные активы, принадлежащие ИСПДн организации, долж­ны быть защищены от воздействий вредоносного кода. В организации должны быть оп­ределены и документально зафиксированы требования по обеспечению безопасности персо­нальных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований.

В организации должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода­ вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации обеспечивают безопасность персональных данных при их обработке в ИСПДн.

Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п. ), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов по обеспечению ИБ.

Обязанности по администрированию средств защиты и механизмов защиты, реа­лизующих требования по обеспечению ИБ ИСПДн организации, возлагаются приказами (распоряжениями ) на специалистов департамента информационных технологий.

Порядок действий специалистов Департамента информационных технологий и пер­сонала, занятых в процессе обработки персональных данных, должен быть определен инструк­циями (руководствами ), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.

Указанные инструкции (руководства ):

• устанавливают требования к квалификации персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;
• содержат в полном объеме актуальные (по времени ) данные о полномочиях пользова­телей;
• содержат данные о технологии обработки информации в объеме, необходимом для специалиста по информационной безопасности;
• устанавливают порядок и периодичность анализа журналов регистрации событий (архи­вов журналов );
• регламентируют другие действия.

Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности специалистов Департамента информационных технологий, опре­деляются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом, при этом проверки долж­ны проводиться не реже чем раз в год.

В организации должен быть определен и документально зафиксирован по­рядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторон­них лиц и наличие препятствий для несанкционированного проникновения в помещения. Указанный порядок должен быть разработан структурным подразделением или должно­стным лицом (работником ), ответственным за обеспечение режима физи­ческой безопасности и согласован структурным подразделением или долж­ностным лицом (работником ), ответственным за обеспечение безопасно­сти персональных данных, и департаментом экономической безопасности.

Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанк­ционированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных дан­ных. С этой целью организационно-­техническими мерами должно быть запрещено несанкцио­нированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных данных, в том числе с использованием отчуждаемых (сменных ) носителей информации, мобильных уст­ройств копирования и переноса информации, коммуникационных портов и устройств ввода­ вывода, реализующих различные интерфейсы (включая беспроводные ), запоминающих уст­ройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов ), а также устройств фото­ и видеосъемки.

Контроль обеспечения безопасности персональных осуществляется специалистом по информационной безопасности, как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

Скачать ZIP файл (65475)

Пригодились документы - поставь «лайк» или :