Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности

Система защиты информации - это комплекс организационных и технических мер, созданных для обеспечения информационной безопасности компании. Основным объектом защиты являются данные, обрабатываемые автоматизированной системой управления и задействованные в выполнении бизнес-процессов.

Виды и способы защиты информации

Государственная защита информации описана в положении Р 50922-2006, по которому деятельность по защите информации может быть:

  • Правовой. Происходит регулирование защиты информации путем создания правовых норм и документов, а также надзор за их исполнением.
  • Технический. Использование специализированного программного обеспечения.
  • Криптографический. С помощью преобразования информации.
  • Физический. Проведение организационных мероприятий, препятствующих получению доступа к конфиденциальным данным.

Этапы защиты информации

Из-за сложностей с различием структур компаний, требующих защиты информации, создание концепции и предоставление услуг по обеспечению безопасности проводится с учетом специфики и особенностей организации, с учетом того, что система защиты информации - это целый набор различных мер.

При этом комплексный подход подразумевает пошаговую методологическую разработку, которая обеспечит грамотную и профессиональную защиту. Выделяют несколько основных принципов, используемых также в системах защиты информации РФ, по которым выполняется работа:

  • Выполнение анализа и оценивание состояния безопасности. Составление плана последующих мероприятий.
  • Создание программного обеспечения, написание документации, моделирование системы управления безопасностью.
  • Создание политики безопасности, техническое оснащение компании, создание целостной структуры службы безопасности, инструктаж работников офиса.
  • Контроль, обновление программ, решение поставляемых задач, анализирование эффективности и оценка работы системы безопасности.

Описанный подход является продуманным и профессиональным, поскольку гарантирует пресечение попыток взлома данных, обеспечивает непрерывную и бесперебойную работу по обмену информацией путем минимизации рисков проникновения вредоносного кода.

Контроль и управление

Многие предприятия прибегают к помощи сторонних компаний, занимающихся обеспечением информационной безопасности и предлагающих свои профессиональные услуги. Связанно это с необходимостью управлять и контролировать систему, проверять и выполнять аудит работ, предоставлять отчеты о нарушениях, решать появляющиеся проблемы, что по итогу требует непрерывной и постоянной работы.

Сведения о выполненной работе предоставляются компании в соответствии требованиям, установленным в данной организации. При этом всю работу подобных компаний регламентирует ФЗ о защите информации.

Основные угрозы безопасности

Базовыми угрозами для информационной безопасности каждой компании являются: кража данных, непроверенное программное обеспечение, хакерские атаки, спам, ошибки работников. Изредка потеря данных может быть связана со сбоем в функционировании аппаратно-программного обеспечения или краже оборудования, подобные моменты регламентирует ст. 149 ФЗ. По итогу компания может понести крупные потери.

Процедуру создания системы для защиты информации можно поделить на три шага:

  • создание политики предприятия в сфере информационной безопасности.
  • поиск и внедрение технических и программных инструментов защиты.
  • создание и проведение организационных мероприятий.

При этом необходимо учесть государственные документы и стандарты, регулирующие вопросы информационной безопасности на предприятиях.

Базой для создания системы защиты информации в какой-либо компании является документ, регламентирующий принципы и положения предприятия в этой области. Он охватывает следующие вопросы:

  • Создание правового обеспечения защиты информации. По факту разрабатывается система нормативно-правовых документов, актуальных для функционирования предприятия. Используя ее, устанавливаются правила обеспечения информационной безопасности в компании и определение ответственности за их нарушение. В правовое обеспечение входят государственные законы и акты, внутренние документы предприятия.
  • Установление потенциальных угроз безопасности информации. Список этих опасностей достаточно велик, и компании следует самостоятельно определить и проранжировать их, чтобы в дальнейшем обнаружить наиболее уязвимые места и проинформировать работников при необходимости.
  • Установление списка защищаемых данных. Используемая в компании информация может иметь открытый и закрытый характер. В число первых попадают данные, не имеющие государственной или коммерческой ценности и не являющиеся конфиденциальными. Убытки от потери подобных сведений мал, и защита не приоритетна. Вторым же типом являются различные данные, представляющие государственную тайну, коммерческие сведения или личные сведения о сотрудниках. Защита этой информации первостепенна. Для каждого такого типа сведений учитывается место обработки, возникновения, подразделения, имеющие к ним доступ.

Основные принципы защиты информации не менялись с момента возникновения самого термина. Гласят они следующее:

  • Невозможно создать абсолютно надежную и непреодолимую защиту. В лучшем случае система будет устойчива к потенциальным угрозам. Из-за этого в процессе планирования следует иметь в виду, кто и какой информацией может заинтересовать, насколько она ценна и какие потери можно понести при ее потере.
  • Государственная система защиты информации должна включать в себя комплекс средств защиты, который состоит из технических, административных и правовых элементов.
  • Подобная система защиты должна легко адаптироваться к смене условий. Основную роль в этом играют административные мероприятия вроде смены паролей, анализа журналов событий, грамотное распределение полномочия пользователя и прочее. Отвечающий за это человек должен быть грамотным работником и преданным компании человеком.

Направления защиты, средства и системы защиты информации, наиболее популярные среди пользователей и технических мастеров:

  • Защита от несанкционированного доступа к автономным ресурсам и сетевым ПК. Функция реализуется программными и аппаратными средствами.
  • Защита серверов и отдельных пользователей от злоумышленников. Для этого применяются межсетевые экраны.
  • Защита личной и секретной информации от чтения посторонними и возможности ее исправления, путем использования криптографических инструментов. Сюда же относится подтверждение подлинности сообщений с помощью цифровой подписи. Использование криптосистем с открытыми ключами имеет перспективы в банковском деле и электронной торговле.
  • Защита программ от незаконного копирования путем использования электронных ключей.
  • Защита от утечки информации по различным каналам.
  • Защита от шпионских устройств, которые могут быть установлены в сам ПК.

Программно-аппаратные средства защиты компьютера

Автоматизированная система защиты от несанкционированного доступа к ресурсам компьютера является комплексной проблемой, включающей решение техническими средствами следующих вопросов:

  • Аутентификация и определение пользователя при входе в систему.
  • Контроль целостности системы защиты, программ и информации.
  • Ограничение доступа пользователей к определенным ресурсам.
  • Запрет на загрузку операционной системы со сторонних носителей.
  • Фиксация действия пользователя и программ.

Дактилоскопические устройства защиты информации

Наибольшую популярность в сфере идентификации пользователя системы приобрели устройства защиты, использующие биометрические данные. Как правило, в прибор встроен дактилоскопический сканер, который может сканировать палец пользователя на предмет соответствия уже внесенного в базу. Также существуют средства и системы защиты информации, сканирующие сетчатку глаза и лицо. Качество последнего на ПК и смартфонах вызывает сомнения, потому что бывали случаи, когда сканер давал доступ человеку со схожими чертами лица, что особенно актуально для близнецов. Однако сбор подобной информации должен строго регламентироваться и контролироваться ФЗ о защите информации.

Средства защиты информации на основе электронных ключей

Изначально данная технология имела очень низкий показатель эффективности, потому что грамотные программисты могли "расколоть" ключ очень легко. На отладочном уровне пираты рассматривали протокол обмена программы и находили образы ключей, на базе которых создавались эмуляторы, помогающие обойти защиту. Разработчики продолжают всячески усложнять данный способ защиты, с учетом того, что система защиты информации - это определенный набор правил и инструментов. Также придумываются ловушки для тех, кто пытается обойти защиту подобным образом. Однако взломщики также учатся и развиваются, так что данное средство защиты рано или поздно будет обойдено с помощью эмулятора или "кряка".

Структура системы защиты информации

На практике в основном проводится эксплуатация систем защиты информации определенного набора.

Основной задачей является создание подхода к представлению системы защиты информации, который включает в себя однозначную классификацию документопотока, список угроз в рамках каждого такого потока и определение механизмов защиты от этих типовых опасностей.

Подход к рассмотрению защиты информации можно вести по двум направлениям, учитывая определение, что система защиты информации - это установленная система мер:

  • Структурно-технический элемент системы, с инженерно-техническими и программно-аппаратными средствами.
  • Структура нормативного элемента защиты, который регламентирует работу предыдущего элемента и персонала.

После определения структуры сложной системы основным этапом остается формулировка цели и критериев эффективности работы, чтобы создать систему защиты конфиденциальной информации.

Итоговой целью защиты становится заранее установленный результат защиты. Угрозой информационной безопасности является совокупность условий и факторов, вызывающих нарушение безопасности организации, который может вызвать негативные последствия для нее. В этом случае целью системы защиты информации становится избежание возможного ущерба.

Из этого следует что структура системы защиты должна формироваться на основе списка возможных угроз для системы. В нее входят следующие разделы:

  • Список возможных угроз для информации.
  • Угрозы для носителей информации.
  • Опасности для элементов ИС.
  • Угрозы для системы защиты.
  • Опасности, которые могут коснуться управления системы защиты

При дальнейшей структуризации защитной системы можно рассмотреть две группы механизмов защиты:

  • для информации, носителей и системы от угроз конфиденциальности
  • механизмы для тех же элементов, с защитой от угроз целостности.

В дальнейшем механизмы защиты могут быть поделены на следующие типы:

  • Препятствие несанкционированному доступу к определенной информации или элементам системы. Включает ограничение доступа, аутентификацию и шифрование.
  • Препятствие бесконтрольному выходу информации за пределы санкционированного объекта. Включает контроль целостности и способы восстановления.
  • Контроль потоков защищаемой информации.

Способы получения доступа к информации

Для борьбы с несанкционированным доступом к данным и их перехватом требуется четкое знание возможных вариантов потери информации. Интегральные схемы, на основе которых работают компьютеры, создают высокочастотные изменения в напряжении и токе. Колебания проходят по проводам и может не просто трансформироваться в понятную для понимания форму, но и быть перехвачены специальными устройствами. Так, в компьютер может быть установлено устройство, перехватывающее информацию, которая выводится на пользовательский монитор или вводится с клавиатуры. Возможность перехвата существует при передаче данных по внешним каналом связи, по типу телефонной линии. Препятствие этим способам взлома есть основные задачи системы защиты информации.

Методы защиты

На практике применяется несколько методов защиты, в число которых входит:

  • Создание системы мер по защите информации и препятствий на пути предполагаемого похитителя, физическими или программными средствами.
  • Оказание воздействия на элементы системы или управление ими.
  • Создание набора правил и регламента для пользователей, чтобы создать представление о должном поведении при работе с базами данных компании.
  • Создание условий, в которых пользователь окажется вынужден выполнять правила по работе с информацией.
  • Побуждение пользователей к выполнению установленных правил.

Для воплощения данных видов систем защиты информации защиты требуются технические и организационные средства.

Организационные средства

Создания комплекса данного типа защиты информации входит в обязанности службы безопасности. Зачастую от нее требуется:

  • Разработать внутреннюю документацию, которая установит правила работы с техникой и коммерческой информацией.
  • Провести инструктаж и проверку персонала, инициировать подписание дополнительных соглашений, прилагающихся к трудовому договору, где будет записана информация об ответственности за разглашение и неправомерное использование данных, полученных при работе.
  • Определить зоны ответственности, что исключить ситуацию, в которой массив важных данных оказался в распоряжении одного из работников. Проводится организация работы в программах документооборота и наблюдение за тем, чтобы важные файлы не выходили за пределы сетевых дисков.
  • Внедрение программных средств, отвечающих за защиту данных от копирования или уничтожения любым пользователем.
  • Составление плана по восстановлению системы в случае выхода ее из строя в независимости от причины.

Технические средства защиты информации

В число технических средств защиты входят программные и аппаратные средства. Основные их которых следующие:

  • Резервное копирование и удаленное сохранение самых важных массивов в компьютерной системе.
  • Дублирование и резервное копирование подсистем сетей, важных для хранения данных
  • Создания возможностей для перераспределения ресурсов сети при нарушении работоспособности отдельных элементов.
  • Создание возможности использования резервной системы электропитания.
  • Создание защиты при возникновении пожара или попадания воды.
  • Установка ПО, отвечающего за защиту баз данных и прочей информации от постороннего доступа.

В число технических мер входит обеспечение физической недоступности объектов, к примеру, оборудования помещений камерами и сигнализациями.

Аутентификация и идентификация

Для исключения неправомерного доступа к информации применяется идентификация и аутентификация пользователя. Эти средства направлены на определение пользователя и его полномочий. Так, после прохождения процедур система определит доступные для этого пользователя данные и запретит чтение других документов. Проверка подлинности может происходить с использованием программы, аппарата или человека. Самый простой способ защиты - пароль.

Типовая система защиты

В общем, подобная корпоративная система защиты информации включает:

  • Управление антивирусным ПО через сервер.
  • Антивирусы, устанавливаемые на автоматизированные рабочие места и сервера.
  • Автоматизированное рабочее место отвечающего за защиту системы от вредоносного кода администратора.

В число основных составляющих системы защиты информации, используемых в антивирусном программном обеспечении, входят:

  • Средства защиты почтовой системы от вирусов, которые проверяют входящие и исходящие сообщения на присутствие вредоносного кода при динамическом мониторинге, выполняемом во время их работы на почтовых серверах. В итоге, пользователь всегда получает сообщения, прошедшие проверку через последние версии антивирусных баз, в независимости от времени попадания сообщения на сервер.
  • Защита документов от несанкционированного доступа, файловых систем автоматизированных рабочих мести и серверов, в обязанности которых входит контроль за файловыми операциями на наличие вирусов при динамической проверке. Также учитывается поддержка сканирования на присутствие вирусов в информации.
  • Защита веб-трафика, в том числе обеспечение фильтрации данных, передаваемых по используемым в компании протоколах.

Предлагаемые средства антивирусной защиты должны обеспечивать:

  • Выявление вируса и его влияния на объекты защиты при периодических проверках памяти, носителей информации, файлов.
  • Эвристический анализ, способный распознать и заблокировать ранее не обнаруженные вредоносные программы.
  • Уведомление об обнаружении факторов влияния вредоносного кода.
  • Возможность выбрать тип проверки.
  • Выбор действий с зараженными файлами.
  • Определение автоматических действий над обнаруженными вредоносными элементами, если определенное по умолчанию действие невыполнимо.
  • Автоматическую загрузку обновлений баз и программных модулей антивируса через заданный интервал времени и источник обновления.
  • Наличие принудительного обновления по требованию вручную.
  • Передачу журнала событий в смежные подсистемы защиты информации.
  • Контроль и управление над доступом к элементам средств антивирусной защиты.
  • Управление средствами антивируса.
  • Ведение журнала событий.
  • Создание отчетов о событиях по запросу.

Защита информации является важным аспектом для любой компании или пользователей. В законодательстве об этом сказано в ст. 149 ФЗ. Большинство современных антивирусных систем обеспечивают безопасность для отдельных устройств. Однако крупным фирмам и организациям лучше прибегнуть к помощи компаний, занимающихся полноценной настройкой и контролированием создаваемой системы безопасности.

Комментарии