Гост р 53114-2008 защита информации. обеспечение информационной безопасности в организации. основные термины и определения

Информационная безопасность

Информационная безопасность РФ– состояниезащищенностиее национальных интересовв информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. (Доктрина Информационной Безопасности Российской Федерации)

name=’more’>

Безопасность информации – состояние защищенностиинформации , при котором обеспечены ее конфиденциальность, доступность и целостность (ГОСТ Р 50922-2006 «Информационные технологии. Основные термины и определения в области технической защиты информации», Р 50.1.053-2005 «Техническая защита информации. Основные термины и определения» ).

Безопасность информации– состояние защищенностиинформации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами (СТР-К).

Безопасность информации– состояние защищенностиинформации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз  (РД ГТК).

Информационная безопасность– защитаконфиденциальности, целостности и доступности информации (ГОСТ 17799:2005 «Информационные технологии. Технологии безопасности. Практические правила менеджмента информационной безопасности»).

Информационная безопасность– все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки (ГОСТ 13335-1:2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»).

Безопасность– состояние защищенности интересов (целей) организации банковской системы РФ в условиях угроз (СТО БР ИББС-1.0).

Информационная безопасность– безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы РФ (СТО БР ИББС-1.0).

Информационная безопасность– защищенность интересов (целей) организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений (Положение БР № 242-П).

Таким образом, информационную безопасность характеризуют:

• Направленность на защиту интересов и достижение целей бизнеса (организации/предприятия)
• Необходимость достижения и поддержания конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
• Комплексность и полнота подхода.

Несостоявшиеся политики

Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.

Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.

Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.

К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.

Основные проблемы защиты данных в информационных системах

Конечная цель реализации мер безопасности

Повышение потребительских свойств защищаемого сервиса, а именно:

• Удобство использования сервиса
• Безопасность при использовании сервиса

• Применительно к системам ДБО это означает сохранность денег
• Применительно к системам электронного взаимодействия это означает контроль над правами на объект и сохранность ресурсов
• Утрата любого свойства безопасности означает потерю доверия к сервису безопасности

Что подрывает доверие к сервисам безопасности ?

На бытовом уровне

• Информация о хищениях денег и собственности, зачастую излагаемая гипертрофировано
• Запуганность людей непонятными для них, а значит, неконтролируемыми угрозами (кибератаками, хакерами, вирусами и т.д.)
• Некачественная работа предоставленного сервиса,(отказы, ошибки, неточная информация, утрата информации)
• Недостаточно надежная аутентификация личности
• Факты мошенничества, с которыми сталкиваются люди или слышали о них

На правовом уровне

• Утрата аутентичности данных
• Утрата легитимности сервиса безопасности по формальному признаку (окончание срока действия сертификата, аттестата на объект, лицензии на вид деятельности, окончание поддержки)
• Сбои в работе СКД –СУД, нарушение конфиденциальности
• Слабый уровень доверия к сервису аутентификации
• Сбои и недостатки в работе систем защиты, дающие возможность оспорить легитимность совершаемых операций

Построение любой компьютерной сети начинается с установки рабочих станций, следовательно подсистема информационной безопасности начинается с защиты этих объектов.

Здесь возможны:

• средства защиты операционной системы;
• антивирусный пакет;
• дополнительные устройства аутентификации пользователя;
• средства защиты рабочих станций от несанкционированного доступа;
• средства шифрования прикладного уровня.

На базе перечисленных средств защиты информации строится первый уровень подсистем информационной безопасности в автоматизированных системах. На втором этапе развития системы отдельные рабочие станции объединяют в локальные сети, устанавливают выделенные сервера и организуют выход из локальной сети в интернет.

На данном этапе используются средства защиты информации второго уровня — уровня защиты локальной сети:

• средства безопасности сетевых операционных систем;
• средства разграничения доступа к разделяемым ресурсам;
• средства защиты домена локальной сети;
• сервера аутентификации пользователей;
• межсетевые экранные прокси-сервера;
• средства обнаружения атак и уязвимостей защиты локальной сети.

При объединении локальных сетей в общий интранет с использованием в качестве коммуникационной среды публичных сетей (в том числе, интернета) безопасность обмена информацией обеспечивается применением технологии VPN, которая составляет основу третьего уровня информационной безопасности.

Читать статью «ИБ: средства защиты» »’

Как обеспечить информационную безопасность для сотрудников компании

Специалисты в области ИБ рекомендуют использовать программные алгоритмы для обеспечения информационной безопасности: их выполнение позволяет надежно защитить информацию и своевременно отреагировать на возможные инциденты. Обучение сотрудников организации правилам работы с данными уменьшит количество инцидентов в сфере безопасности информации и финансовые потери от них.

Основные моменты, которые должны быть учтены при создании и функционировании системы информационной безопасности на предприятии:

Начинать выстраивать многоэтапный процесс обучения сотрудников нужно как можно раньше. Этот принцип базируется на теории, что исполнительное звено команды задает тон всей компании, каждой группе (отделу, подразделению) и каждому проекту. Если собственник компании стремится, чтобы его программа действий по обеспечению ИБ была успешной, необходимо привлечь команду менеджеров, которые будут ответственными за обеспечение требований информационной безопасности на каждом этапе работы с данными, и предусмотреть в их должностных обязанностях выполнение этих функций.

Необходимо непрерывно обучать сотрудников методам и требованиям обеспечения информационной безопасности на предприятии. Следуя этому принципу, нужно прививать персоналу культуру обращения с данными, когда каждый соблюдает правила информационной безопасности непосредственно на своем рабочем месте. Большинство экспертов сходятся во мнении, что подход «один раз – и готово» не позволяет обеспечить безопасность в информационной сфере

Важно включить «обучающие моменты» в повседневные деловые операции. Например, упражнения по симуляции атаки в основном обеспечивают наиболее реалистичный контекст для отработки действий по защите информации в реальных рискованных ситуациях, в которых оказываются сотрудники

Во время такого обучения часто удается прорабатывать и впоследствии внедрять наиболее ценные методы решения проблемы. 

Использование актуальных решений в области информационной безопасности. Следуя этому принципу, нужно повышать осведомленность персонала, вносить изменения в его поведение на основании реальных, актуальных и убедительных примеров. Не нужно усложнять очевидные вещи, пытаться решать всевозможные ситуации основным методом. Только используя систему информационной защиты по всем направлениям, можно получить действительно качественный результат и минимизировать или остановить утечки информации за пределы предприятия.

Выбор наилучшего подхода. Нужно показать сотрудникам, как можно выполнять различные операции с информацией безопасно, используя наиболее подходящий в конкретных ситуациях, правильный подход. Важно помнить: цель владельца компании состоит в том, чтобы привить персоналу профессиональные навыки и привычки, чтобы безопасность соблюдалась на интуитивном уровне, а не просто зазубрить правила на время.  

Объяснения с вескими доказательствами и удачными примерами. Надо объяснять сотрудникам, почему учетные данные и документы пользователя так ценны, и насколько важно их защитить. Это гораздо лучше, чем просто разочароваться в количестве жалоб пользователей на политику защиты информации. Как только сотрудник поймет причину существования определенной меры безопасности, он с большей вероятностью будет уважать ее и применять аналогичные принципы информационной безопасности в любых новых ситуациях «высокого риска».

Приоритетное обучение. Обучение информационной безопасности является наиболее значимым, когда оно тесно связано с ролью сотрудника на предприятии в контексте рисков, с которыми он сталкивается при выполнении этой роли.

Нет инструмента обучения, который бы подходил для всех. Потребуется использовать новые способы, основанные на принципах креативности, для управления информационной безопасностью: бюллетени, плакаты, блоги, другие средства. Из этого принципа можно сделать вывод: нужно искать индивидуальный подход к каждому сотруднику.

Следуя этим принципам, руководитель легко сможет обеспечить информационную безопасность для сотрудников предприятия.

Угрозы информационной безопасности

Анализ потенциальных киберугроз для организации является услугой, которую можно купить на рынке:

Услуги исследования киберугроз (рынок России)

Действия, несущие угрозу для информационных систем, можно разделить на две основные категории: внутренние (умышленные и неумышленные действия сотрудников) и внешние (сетевые кибератаки, кража носителей информации).

Внутренние угрозы

Внутренние угрозы связаны прежде всего с утечками данных:

Утечки данных

Чаще всего к утечкам приводят следующие действия, осуществляемые авторизованными пользователями (сотрудниками, инсайдерами):

• целенаправленная кража, замена на заведомо ложные или уничтожение данных на рабочей станции или сервере;
• повреждение данных пользователем, вызванное неосторожными или халатными действиями;
• утеря носителей информации за периметром организации.

Внешние угрозы

Электронные методы воздействия, осуществляемые хакерами:

• несанкционированное проникновение в компьютерные сети;
• DoS- и DDoS-атаки;

Естественные угрозы: на информационную безопасность компании могут влиять разнообразные внешние факторы: причиной потери данных может стать неправильное хранение, кража компьютеров и носителей, форс-мажорные и другие обстоятельства.

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

• препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
• управление, или оказание воздействия на элементы защищаемой системы;
• маскировка, или преобразование данных, обычно – криптографическими способами;
• регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
• принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
• побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы. 

Цели обучения персонала вопросам информационной безопасности

Создание эффективных систем безопасности на предприятии – сложное мероприятие, хотя есть много программ, которые способны автоматизировать процесс контроля. Профессиональные метрики не просто говорят о том, что было сделано, но и о том, насколько отлично это было сделано, – они позволяют прогнозировать будущее, а не пересчитывают прошлое. 

Вот несколько советов для повышения осведомленности и эффективного обучения безопасной работе с информационными системами:

• отслеживание заявок в службу поддержки; сотрудники более чувствительны к подозрительным событиям и уверены в себе, когда сообщают о проблемах;
• изучение нетрадиционных методов обучения, таких как имитационные упражнения. Они необходимы, чтобы проверить устойчивость работника к мошенничеству в социальной сфере, а затем измерять прогресс на ежеквартальной основе.

Тем не менее собственнику предприятия нужно работать со своей командой, которая обеспечивает ИБ, чтобы обеспечить всем возможность поддержания доверия и прозрачность отношений.

Программы, направленные на обучение, необходимо постоянно дорабатывать и обновлять с учетом новых тенденций и появления новых методик и способов защиты информации. Застоявшиеся способы борьбы с посторонним вмешательством не могут гарантировать максимальную информационную защиту. 

При разработке обучающих программ следует учитывать:

• возможность учебы без отрыва от рабочего процесса;
• регулярность обновления полученных знаний;
• доступность и понятность предоставляемой информации.

Дистанционное преподавание является одним из продуктивных способов быстрого и простого обучения любого количества сотрудников без нарушения установленного режима рабочего времени и без снижения продуктивности их труда. Это могут быть ролики, фильмы, скринсейверы, мультфильмы или краткие новости от службы безопасности

Постоянное напоминание сотрудникам о важности информационной защиты позволяет привить стойкие навыки в вопросах реализации требований по защите информации

Обучение сотрудников не гарантирует 100% защиту данных, но повышает уровень защиты системы в целом.

Перечень основных требований к документации по безопасности

Политику безопасности надо формулировать с учетом двух основных аспектов:

1. Целевая аудитория, на которую рассчитана вся информация по безопасности – руководители среднего звена и рядовые сотрудники не владеют специфической технической терминологией, но должны при ознакомлении с инструкциями понять и усвоить предоставляемую информацию.
2. Инструкция должна быть лаконичной и при этом содержать всю необходимую информацию о проводимой политике. Объемный «фолиант» никто подробно изучать не будет, а тем более запоминать.

Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:

• они должны быть составлены простым русским языком, без использования специальных технических терминов;
• текст по безопасности должен содержать цели, пути их достижения с указанием назначения меры ответственности за несоблюдение ИБ. Все! Никакой технической или иной специфической информации.

Признаки информационного общества

Последствия информационной революции обусловили коренные изменения во всех сферах жизни человека. Вместе с развитием информационного общества состоялся переход от приоритета производства к экономике услуг, в основе которой лежит не производство товаров, а предоставление услуг. В сфере культуры возникает и развивается «массовая культура», ряд субкультур со своими уникальными характеристиками, киберспорт и тому подобное. Растет популярность социальных сетей и интернет-СМИ. Новейшие средства социального взаимодействия, возрастание роли средств массовой информации в организации общества создали новые формы правления обществом — нетократии и медиакратии. Основной ценностью для общества в целом и отдельного человека в частности постепенно становятся информационные ресурсы. Это, в свою очередь, вызывает потребность в уточнении понятия информация.

Информацию как объективное явление можно рассматривать и по таким признакам:

• это самостоятельная производственная отрасль, то есть вид экономической деятельности;
• это неотъемлемый фактор любого производства, который является фундаментальным ресурсом каждой экономической системы;
• это информационный продукт, который лежит в основе создания информационного продукта или информационной услуги и выступает как материальный товар, определяется не стоимостью, а монопольной цене через равновесие спроса и платежеспособности покупателя;
• это элемент рыночного механизма, который наряду с ценой и полезностью влияет на определение оптимального состояния экономики и ее равновесия;
• это один из важнейших факторов в конкурентной борьбе. Информация влияет на эффективность производства без физического увеличения традиционных ресурсов; действует на субъективный фактор производства — человека, его характер, особенности; ускоряет процесс производства благодаря уменьшению периодов производства и обращения.

Исходя из такого понимания информации, определим основные признаки информационного общества:

1. Преобразование информации в важнейший экономический ресурс, имеет глобальный характер и обеспечивает повышение эффективности, рост конкурентоспособности и инновационное развитие субъектов хозяйствования. Ведущим видом собственности становится собственность человека на информацию как духовный продукт; знания и информация приобретают свойства товара. Преобразование информационной сферы в фундамент, основу всех видов экономической деятельности в XXI в.
2. Информационное общество видом открытого общества, характеризующееся доступностью информации для граждан; возрастание роли информационного менеджмента в управлении обществом и различными сферами жизни.
3. Информация развивается по своим законам, не связанными с реальными фактами (ложная информация способна вносить серьезные изменения в жизни людей и общественно-политические процессы).

Таким образом, информационное общество — это общество, в котором большинство работающих занято производством, хранением, обработкой и распространением информационных данных.

Кроме положительных моментов информационного общества можно выделить и опасные тенденции:

• все большее влияние на общество средств массовой информации;
• информационные технологии могут разрушить частную жизнь людей и организаций;
• существует проблема отбора достоверных информационных данных;
• многим людям будет трудно адаптироваться к среде информационного общества;
• существует опасность разрыва между людьми, занимающимися разработкой информационных технологий, и потребителями.

Распространенные инструменты для защиты информации

1. Антивирусное ПО. Бывают очень разными и различаются по технологиям защиты информации механизмов, функциям, объему защиты и другим. Закрывают следующие потребности:

— обнаружение вирусов;

— обнаружение потенциально
вредоносного или нежелательного ПО;

— восстановление зараженных
данных;

— профилактика.

2. Межсетевые экраны –
программно-аппаратные комплексы сети. Если просто, они занимаются мониторингом
входящего и исходящего потока на основе определенных правил безопасности и
принимают решения о блокировке или пропуске конкретного трафика. Это следующая
ступень защиты.

3. Системы НСД –
представляет собой комплекс мер: инструкции, правила, аппаратные/программные
ограничения и средства защиты информации. Предотвращают и ограничивают доступ к
данным для тех людей, которые не обладают достаточным правом или которым доступ
запрещен в принципе.

4. Системы DLP – способ
защиты конфиденциальной информации. Это чаще всего программно-аппаратный
комплекс с большим количеством встроенных модулей, различающихся по функциям
(аналитика, управление и другие).

5. Допущение факта того, что
вас уже взломали! Да-да, именно так! Ведь есть множество людей, которые взламывают
либо за деньги, либо за идею (прокачать скил, повысить свой рейтинг,
узнаваемость и т.п.). Вторая категория – это самые опасные и непредсказуемые
личности. Если вы попали такому на карандаш, вас взломают – это просто вопрос
времени и принципов взломщика.

Случайные нарушения механизмов безопасности интересуют мало, так как это все-таки дело случая и их стараются предусмотреть опытные специалисты в области обеспечения защиты информации. Здесь единственное главное правило, которое можно озвучить: защитите свое железо хотя бы физически: доступы, специальное помещение, проветриваемые помещения и прочее оборудование, приспособления и правила, которые присущи физической защите «железа» и ограничению доступа/допуска к данным всех подряд.