Цели обеспечения информационной безопасности

В чем заключаются? Цели информационной безопасности просты и понятны: предотвратить утечку конфиденциальных данных, организовать их защиту от непреднамеренных ошибок, постараться минимизировать потери из-за разного рода форс-мажоров, как следствие катаклизмов.

На что обратить внимание? Именно цели информационной безопасности должны определять методы, которые будут использоваться для ее обеспечения. Проще говоря, сначала нужно подумать, что следует узнать, а потом уже решить, как именно.

Понятие информационной безопасности

Информационная безопасность – мероприятия, направленные на защиту информации от несанкционированного доступа третьих лиц. Накануне, чтобы важные документы не попадали в чужие руки, их собирали в сейфах, нанимали охрану, отправляли зашифрованные сообщения.

Сейчас в защите требуются цифровые данные, однако меры политики остаются прежними: специалисты, занимающиеся информационной безопасностью (ИБ), создают защищенные пространства, своего рода виртуальные «сейфы», разрабатывают и устанавливают специальные программы, т. е. е. «нанимают охрану» и используют криптографические методы для шифрования цифровых данных.

Тем не менее, цифровая информация нуждается в физической защите, поскольку ни одно программное обеспечение не поможет в случае утверждения самого сервера с необходимыми сведениями. Подобные хранилища размещают в охраняемых помещениях.

Типы угроз информационной безопасности

Существует условное разделение угрозы информационной безопасности на группы:

1. Техногенные . Причины их возникновения заключаются в проблемах с техническим обеспечением и средствами защиты. Эту группу по защите информации сложнее всего спрогнозировать.
2. Антропогенные . Причины их возникновения кроются в человеческом факторе. Ошибки, допущенные сотрудником, могут быть как умышленными, так и непреднамеренными. К первым относятся преступления в сфере информационных технологий, вторые – случайные ошибки, например, отключение по незнанию антивирусной защиты.
3. Стихийные . Возникают по неконтролируемым причинам, которые практически невозможно спрогнозировать и предотвратить. К этой группе угроз относятся пожары, землетрясения, наводнения, отключение электроэнергии из-за стихийных опор и пр. Таким образом, системы информационной безопасности обеспечивают каналы связи, бесплатные серверы, внешние носители данных, а также рабочие места сотрудников.

В зависимости от места источника угроза может быть внешней и внутренней. Такая классификация особенно актуальна для масштабных государственных систем. Внешняя опасность – атаковать хакеров, конкурирующих компаний, враждебно настроенных государств. Внутренние – тенденции, по причине низкого уровня программно-технического обеспечения, недостаточной компьютерной грамотности пользователей, на уровне государства – низкий уровень развития технологий передачи данных и ИТ-сектора в целом.

Общедоступная и конфиденциальная информация

Информация о:

• главный, к которому имеет доступ любой;
• конфиденциальную, предназначенную для отдельных лиц.

На первый взгляд общедоступная информация не нуждается в защите. Однако такое мнение ошибочно. К примеру, в интернет-магазине любой может найти контакты продавцов, карточки товаров, ознакомиться со статьями на сайте. Но и магазину необходима защита от несанкционированного доступа третьих лиц, которые могут нарушить его работу, например, изменив данные в карточках, контактах.

Получите бесплатно инструкцию по выбору подрядчика от Videoglaz:

Команда Videoglaz совместно с главным техническим экспертом компании подготовили файл, который поможет вам не ошибиться при выборе подрядчика для своего проекта.

“В самом начале работ часто возникает вопрос: Как быстро определить качество партнера или исполнителя по системам безопасности? Именно поэтому мы подготовили подробную инструкцию, в которой осветили основные пункты, благодаря которым вы сможете без проблем выбрать добросовестного подрядчика, сохранить бюджет и выполнить проект в срок.”

Скачивайте и используйте уже сегодня:

Валентин Белоусов

Руководитель отдела проектных решений

10 шагов, которые помогут выбрать добросовестного подрядчика

Поможет сохранить бюджет и уложиться в сроки проекта

Для получения доступа к файлам, оставьте свой телефон:

Нажимая на кнопку, Вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности и условиями оферты

Скачать инструкцию бесплатно

pdf 3,7mb

Уже скачали 11 507

Главная цель информационной безопасности как в сфере ИТ, так и в целом – защита конфиденциальных данных.

Конфиденциальная информация делится на несколько групп:

• Персональные данные включают сведения о конкретном человеке (Ф. И. О., паспортные данные, номер телефона, сопутствующие особенности, семейное положение и пр.). Данная информация предусмотрена защитой в соответствии с законом № 152-ФЗ. Операторы считают, что их информация не передается третьим лицам. К персональным данным относится информация о клиентах и ??сотрудниках.
• Коммерческая тайна составляет внутреннюю (для служебного пользования) информацию о работе компании (с учетом технологий, методов управления, клиентской базы). Утрата этих данных, их разглашение третьих лиц, грозит компании потерей прибыли. Руководство организации принимает решение о том, что следует обращаться к коммерческой тайне, а что оставаться общедоступным. В целях реализации информационной безопасности необходимо знать, что любые сведения могут составлять корпоративную тайну: к примеру, запрещено сокрытие Ф. И. О. учредителей юридических лиц, условий труда и пр.
• Профессиональная тайна – включает сведения, которые формируют известное лицо в связи с проявлениями профессиональной деятельности (врачебная, нотариальная, адвокатская). Цели и задачи информационной безопасности в этой сфере решаются отраслевыми законами.
• Служебную тайну составляет информация, которой обладают органы (как правило, налоговая инспекция, загс). Информационная безопасность таких измерений осуществляется с помощью соответствующих устройств, сами данные предоставляются только по запросу.
• Государственная тайна включает сведения военного ведомства, разведданные, информацию о состоянии экономики, науки и техники государства, внешнеполитические данные. Это наиболее конфиденциальная информация, ее безопасность должна обеспечиваться максимально строго.

Если деятельность организации связана с предоставлением технических или иных конфиденциальных данных (личных данных, коммерческих или профессиональных тайны), то к этим данным должен быть ограничен доступ третьих лиц, ограничены уровни доступа, установлены пароли и защитное ПО, настроено шифрование.

Варианты контроля информационной безопасности

Основные цели информационной безопасности, установленные виновными субъектами, определяются для обеспечения учета полного контроля созданных и примененных систем кибербезопасности. Сегодня выбирают три основных вида контроля:

Физический

Данный вид контроля предусматривает обеспечение рабочих мест сотрудников, вычислительной техники, бытового оборудования, дверных замков, пожарных и дымовых сигнализаций, видеонаблюдения .

Административный

На предприятии должен быть разработан комплекс мер, стандартов и процедур, выполнение которых обеспечивает поставщикам цели информационной безопасности и своевременного обнаружения угроз. Эти меры необходимы для формирования определенных границ ведения бизнеса и управления персоналом. В эту группу входят нормативные акты, разработанные также на государственном и отраслевом уровнях.

Логический

Этот вид контроля заключается в применении технических средств, защитных информационных систем (программное обеспечение, пароли, межсетевые экраны и пр.).

Средства защиты данных

В целях обеспечения информационной безопасности организация использует специальные средства (технические приспособления, устройства, различное оборудование), которые защищают информацию и обеспечивают ее уничтожение.

Читать также!

Степень защиты IP: что это и что бывает

Подробнее

Существует разделение средств защиты на следующие виды:

1. Организационные – представляют собой совокупность организационно-технических (наличие компьютерных помещений, кабельной системы) и организационно-правовых (законодательные, нормативные и локальные правовые акты компаний) мер.
2. Программные – включают ПО, обеспечение сохранности, контроль и защиту информации и доступ к ней.
3. Технические или аппаратные средства – технические средства, предотвращающие проникновение лиц в информационные системы и утечку данных.
4. Смешанные аппаратно-программные средства – предполагают средства одновременного применения аппаратных и программных средств в целях обеспечения информационной безопасности предприятия.

ИТ-сфера стремительно развивается, участвует в кибератаках, совершенствуются вирусные программы, ветер и угрозы, поэтому чаще всего для целей информационной безопасности используют программные средства защиты цифровых данных.

Разработка целей информационной безопасности и способов их достижения.

Разработка политики защиты данных начинается с определения стратегий целей информационной безопасности, т.е. е. с определенными шагами, которые реализуются для учета следования разработанным правилам.

Цели и направления информационной безопасности включают в себя обучение сотрудников, разработку и внедрение необходимого программного обеспечения, оборудования, позволяющего соблюдать правила ИБ.

Топ-3 товара по теме:

IPTRONIC IPT-IPL720BM(2,8)P

4 657 ₽ 7 762 ₽

В корзину

Dahua DH-IPC-HFW2230SP-S-0360B

8 472 ₽ 10 590 ₽

В корзину

HiWatch DS-I202(D) (2.8 mm)

4 135 ₽ 8 790 ₽

В корзину

При определении целей в области информационной безопасности необходимо соблюдать требования, предъявляемые к защите данных, а также оценивать вероятные риски. Риски необходимо внимательно изучить и разработать план противодействия, который позволит закрыть концы каналов утечки данных.

Цели систем информационной безопасности относятся к одной или нескольким категориям.

бытовые хрустальные

Схема защиты ресурсов должна предпочтительнее входить в систему только авторизованными пользователями. Защита всех типов системных ресурсов свидетельствует о достижении целей информационной безопасности. В задачи службы безопасности компании входит распределение пользователей по категориям, учитывая различные уровни доступа к информационным системам.

Аутентификация

Аутентификация – это проверка соответствия человека или оборудования на другом конце сеанса характеристикам. Постоянная проверка ситуации позволяет максимально обеспечить цели информационной безопасности, т.е. е. защитить систему от взлома, в ходе которого третье лицо использует ложные данные для идентификации в системе.

Проверка подлинности с помощью паролей и имен пользователей, цифровых сертификатов или биометрических параметров человека (отпечатков пальцев, сканирования лиц).

При привязке системы к общедоступной сети (Интернету) требуются новые, более надежные параметры аутентификации. Если во внутренней сети можно контролировать трафик сети, то в Сети такой возможности нет. Для достижения целей информационной безопасности и защиты системы от проникновения третьих лиц недостаточно традиционных способов, таких как ввод имени пользователя и пароля:

Авторизация

Авторизация означает уверенность в том, что человек или оборудование на другом конце сеанса получили разрешение на выполнение запроса. Она при наличии существующего риска доступа к цифровым данным со стороны третьих лиц. Чаще всего она проходит вместе с аутентификацией.

стейст хот

Это уверенность в том, что отправляемая и получаемая информация достоверна. Целостность данных строится при соблюдении следующих ограничений:

• Обеспечение безопасности информации от несанкционированного доступа и изменений.
• Защита от перехвата данных пользователей, не прошедших авторизацию.
• Проверка получения источников сведений, применение дополнительных средств контроля информации, полученной из Интернета или из других непроверенных источников.
• Защита данных от изменений и повреждений посредством использования алгоритмов шифрования.

Конфиденциальность

В целях обеспечения информационной безопасности важно тщательно охранять секретные данные. Третьим лицам не должно быть известно об их существовании. Конфиденциальность стоит во главе общей безопасности компании и строится на следующих принципах:

• Шифрование с помощью цифровых сертификатов.
• Защищенное соединение Secure Socket Layer (SSL).
• Выход в Интернет через виртуальные частные сети (VPN).

Принимаемые меры обеспечения информационной безопасности целей при передаче через ненадежные сети. При разработке политики безопасности компании необходимо тщательно продумать шаги по обеспечению безопасности IP и сохранности конфиденциальных данных в локальной и глобальной сетях.

Аудит безопасности

Процесс заключается в мониторинге всех событий, связанных с получением доступа к сети. Специалисты предпочитают записи двух типов, указывая правомерные авторизации и подозрительные соединения. Неудачные действия по получению доступа сигнализируют о прекращении взлома системы безопасности. Вход одного сотрудника в систему другого должен быть отражен в специальном журнале.

Конфиденциальные сведения должны находиться на охраняемом объекте. При необходимости передачи копий на бумажные носители привлекаются специальные курьерские службы, занимающиеся передачей секретных данных.

Компания, разработавшая цели информационной безопасности, должна оценить их эффективность. Например, при внедрении системы передачи данных между сотрудниками компании через облачную платформу необходимо, чтобы сервис был надежным, а также создать дополнительные клиентские программы для шифрования данных перед отправкой их на сервер.

Цели и действия по обеспечению информационной безопасности документируются, отражают все выполненные действия, понесенные расходы, рекомендации по перспективному изменению политики ИБ. Не менее важное значение имеет простота модификации системы в случае подключения нового оборудования.

На время создания новых угроз информационной безопасности, источников утечки данных. Поэтому соответствующая служба компании должна постоянно следить за состоянием и защищенностью систем, предотвращая возникновение угроз в кратчайшие сроки.

Часто задаваемые вопросы об информационной безопасности

Какова правовая основа информационной безопасности в РФ?

5 декабря 2016 года Президент РФ утверждает Доктрину информационной безопасности. В документе дано определение ИБ как состояния защищенности национальных интересов в информационной сфере. Национальные интересы в двадцатых доктринах – совокупность интересов общества, личности и государства, которые нужны для стабильного развития социума.

Кроме того, правоотношения, связанные с достижением целей информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите государственных данных» и пр., а также нормативными, отраслевыми, ведомственными и местными актами в указанной сфере.

Кто такие субъекты информационной безопасности?

Субъектам ИБ принадлежат и пользователи информации. Последние могут быть неизменными, т.е. е. работающие с данными на постоянной основе, а также запрашивающие их при необходимости. В банковских стандартах ИБ к таким «собственникам» от ведущих акционеров – юридических лиц, владеющих определенными сведениями.

От кого была вызвана утечка данных?

Сотрудники, причиняющие ущерб компаниям интеллектуальной и коммерческой собственности (инсайдеры), получили условно-досрочное освобождение от административных и случайных преступлений. первыми часто становятся уволенные сотрудники, желающие отомстить компании-работодателю или заработать на продаже конфиденциальной информации; завербованные лица.

Каковы основные проблемы современной кибербезопасности?

При достижении целей информационной безопасности компания сталкивается с двумя вариантами проблем:

• Хакерскими атаками , направленными на цепи поставок, облачные структуры и серверы, инфраструктуру и промышленные предприятия, банки и общественно значимые институты (здравоохранение, образование, сопутствующую деятельность).
• Слабая связь , поскольку цифровая информация большинства компаний не защищается должным образом, средства обеспечения безопасности данных не обновляются на регулярной основе, специалисты по ИБ мало, а накопленный опыт и квалификация позволяют еще меньшему числу сотрудников.

Большая часть данных на самом высоком уровне (от личного до государственного) сегодня является цифровой и регулярно подвергается кибератакам, перехвату в Интернете, вирусному заражению и т. д. п. Поэтому так важно разработать и использовать в целях обеспечения информационной безопасности новые, более совершенные системы, способные защитить важные сведения.