Elettracompany.com

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Аспекты защиты информации

Организационно-правовые аспекты защиты информации

Цель лекции

  • Познакомиться с законодательными и правовыми основами защиты информации
  • Рассмотреть основные положения «Закона о персональных данных «
  • Изучить принципы разработки политики безопасности
  • Проанализировать причины инициативы Microsoft по предоставлению ФСБ и другим заинтересованным государственным организациям доступа к исходному коду своих продуктов

Текст лекции

С нормативно-правовой точки зрения использование СОА для защиты от атак должно подкрепляться соответствующими документами, определяющими необходимость и возможность применения данного средства защиты в АС . Данный вопрос особенно актуален для предприятий государственного сектора экономики.

На сегодняшний день существует большое количество различных документов, регламентирующих вопросы информационной безопасности . В общем случае они могут быть сгруппированы в следующие категории (рис. 29.1):

  1. федеральные правовые документы, которые включают в себя кодексы и законы, указы и распоряжения Президента РФ, а также постановления Правительства РФ;
  2. отраслевые нормативные документы, включающие в себя российские и международные стандарты , а также специальные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, касающиеся вопросов защиты информации ;
  3. локальные организационно-распорядительные документы, которые действуют в рамках отдельно взятой организации, например, должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности .

В данной лекции будут рассмотрены базовые отечественные и международные стандарты в области информационной безопасности , а также описаны аспекты их применения в отношении СОА.

Обзор российского законодательства в области информационной безопасности

Требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа , изложены в Федеральных иконах и уточнены в документах Федеральной службы по техническому и экспортному контролю Российской Федерации (Гостехкомиссии России), ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению безопасности информации . Реализация и контроль этих требований осуществляется при помощи соответствующих государственных систем сертификации средств защиты и аттестации объектов автоматизации .

Правовую основу информационной безопасности обеспечивают: Конституция Российской Федерации, Гражданский и Уголовный Кодекс , Федеральные законы «О безопасности» (№ 15-ФЗ от 07.03.2005), «О Государственной тайне » (№ 122-ФЗ от 22.08.2004), «Об информации, информатизации и защите информации» (№ 149-ФЗ от 27.07.2006), «Об участии в международном информационном обмене» (№ 85-ФЗ от 04.07.1996), «О коммерческой тайне » (№98-ФЗ от 29.07.2004), «О персональных данных » (№ 152-ФЗ от 27.07.2006), «О техническом регулировании» (№ 45-ФЗ от 09.05.2005), Доктрина информационной безопасности , Указы Президента и другие нормативные правовые акты Российской Федерации.

Соблюдение правовых норм , установленных законодательными актами Российской Федерации, должно являться одним из основополагающих принципов при создании любой комплексной системы защиты от информационных атак .

Общие правовые основы обеспечения безопасности личности , общества и государства определены в Федеральном законе «О безопасности».Этим же законом определено понятие системы безопасности и ее функций, установлен порядок организации и финансирования органов обеспечения безопасности и правила контроля и надзора за законностью их деятельности.

Основные положения государственной политики в сфере обеспечения безопасности изложены в Доктрине информационной безопасности Российской Федерации.В Доктрине определены следующие основные задачи, которые необходимо учитывать при реализации комплекса мер по информационной безопасности :

  • обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
  • укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности , создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации ;
  • запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством;
  • защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России;
  • обеспечение защиты сведений, составляющих государственную тайну .

В соответствии с Конституцией Российской Федерации (ст. 23, 24) мероприятия по защите данных от возможных информационных атак не должны нарушать тайну переписки, осуществлять сбор сведений о частной жизни сотрудников, а также ознакомление с их перепиской.

В Гражданском кодексе Российской Федерации (ст. 139) определены характерные признаки информации, которая может составлять служебную или коммерческую тайну . Кроме этого в гражданском кодексе установлена ответственность, которую несут лица, за незаконные методы получения такой информации.

Уголовным Кодексом Российской Федерации предусматривается ответственность в случае преднамеренного использования вредоносного программного обеспечения с целью:

  • сбора или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (ст. 137);
  • незаконного получения или разглашения сведений, составляющих коммерческую или банковскую тайну (ст. 183);
  • неправомерного доступа к охраняемой законом компьютерной информации (ст. 272);
  • нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ (ст. 274);
  • нарушения тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, с использованием специальных технических средств, предназначенных для негласного получения информации (ст. 138).

Уголовная ответственность распространяется также на лиц, совершивших действия по созданию, использованию и распространению вредоносных программ для ЭВМ (ст. 273). При этом необходимо отметить, что в качестве вредоносного ПО могут выступать не только вирусы, программы типа » Троянский конь «, но и программы, предназначенные для проведения информационных атак .

Регулирование отношений, связанных с созданием, правовой охраной, а также использованием программ для ЭВМ и баз данных, осуществляется при помощи законов «О правовой охране программ для электронных вычислительных машин и баз данных» и «Об авторском праве и смежных правах».

Федеральный закон «Об участии в международном информационном обмене» также определяет понятие информационной безопасности и направлен на создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства. Требования данного нормативного документа необходимо учитывать при взаимодействии с зарубежными информационными ресурсами, например, через сеть Интернет . Отношения, возникающие при формировании и использовании информационных ресурсов

на основе создания, сбора, обработки, накопления и предоставления потребителю документированной информации, регулируются Федеральным законом «Об информации, информатизации и защите информации».Данный закон определяет понятие конфиденциальной информации , цели и задачи по ее защите, а также права и обязанности субъектов в области защиты информации . В 2006 г. эти два закона были заменены Федеральным законом «Об информации, информационных технологиях и о защите информации»,в соответствии с которым защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа ;
  • реализацию права на доступ к информации.

Более подробно информация конфиденциального характера определена в Указе Президента Российской Федерации № 188 от 06.03.1997 г. «Об утверждении перечня сведений конфиденциального характера».В соответствии с данным Указом к подобным сведениям отнесены:

Основные аспекты информационной безопасности

Защита корпоративных данных
с помощью DLP-системы

К орпоративная безопасность – явление совсем не новое. То, что лишь недавно стали называть этим термином, существует еще с тех пор, как только зародилась торговля. Каждый купец стремился уберечь свои профессиональные секреты от конкурентов, чтобы не потерять прибыль.

Современные реалии корпоративной безопасности компании

По сути, современная корпоративная безопасность мало чем отличается от давнишней. Меняются лишь реалии, в которых бизнесмены должны вести свое дело. Любая компания хочет быть надежно защищена не только от внешних угроз, но и от внутренних. Эту проблему и решают специалисты по корпоративной и информационной безопасности. Перед ними стоит задача проводить целый комплекс мер, включающих в себя практически все сферы жизни компании:

  • защита коммерческой тайны;
  • внутренняя работа с сотрудниками;
  • внутренняя контрразведка;
  • служебные расследования;
  • экономичная безопасность;
  • техническая и физическая защита.

Если есть проблемы хотя бы по одному из этих пунктов – быть беде. Не так давно в Великобритании разразился скандал – жесткие диски с данными пациентов клиник, которые должны были быть уничтожены, оказались вдруг на аукционах eBay.

Больницы передавали списанные диски компании-подрядчику, которая, в свою очередь, пользовалась услугами частного лица. Предприимчивый англичанин, вместо того чтобы добросовестно выполнить свои обязанности – уничтожить носители – выставлял диски с данными на продажу.

В этом случае «слабыми звеньями» можно назвать два пункта – внутренняя работа с сотрудниками и техническая защита. Разберемся, почему. К утечке привела слишком длинная цепочка посредников, в результате чего заказчик даже не был в курсе, кто непосредственно занимается уничтожением дисков и чьи действия необходимо было проконтролировать. Кроме того, уже сам факт, что больницы передавали диски с незащищенными личными данными пациентов третьим лицам – техническое упущение сотрудников.

Ответственный подход к обеспечению корпоративной информационной безопасности помог бы избежать данной ситуации. Разберемся, что же необходимо предпринять, чтобы получить на выходе реально работающую систему информационной защиты.

Читать еще:  Https learn vships com index php

Как вычислить вора в компании с помощью «КИБ СёрчИнформ»? Реальный кейс клиента.

Три непростых шага

Прежде чем приступать к построению эффективной системы информационной безопасности, необходимо тщательно проанализировать уже существующую на предприятии систему хранения и обработки данных. Есть три основных шага, которые необходимо для этого сделать:

1. Выявление критически важной информации.

2. Выявление слабых мест в корпоративной безопасности.

3. Оценка возможностей защиты этой информации.

Все эти действия можно выполнить либо силами своих сотрудников, либо заказать у специалистов аудит информационной безопасности компании. Преимущества первого способа – более низкая стоимость и, что немаловажно, отсутствие доступа к корпоративным данным для третьих лиц. Однако если в организации нет хороших штатных специалистов по аудиту безопасности, то лучше всего прибегнуть к помощи сторонних компаний – результат будет надежнее. Это поможет избежать наиболее распространенных ошибок в обеспечении информационной безопасности.

«Самые частые ошибки это недооценка и переоценка угроз предпринимательской деятельности, – считает Александр Доронин, эксперт в области экономической безопасности и автор книги «Бизнес-разведка». – В первом случае, в системе безопасности предприятия зияют дыры, что для организации оборачивается прямым ущербом от утечки конфиденциальной информации, корпоративного мошенничества и откровенного воровства что под руку попадется».

При переоценке угроз система безопасности не только тяжким бременем ложится на бюджет предприятия, но и неоправданно затрудняет работникам организации исполнение возложенных на них обязанностей. Это грозит потерями возможной прибыли и утратой конкурентоспособности».

Выявление критически важной информации. На этом этапе происходит определение тех документов и данных, безопасность которых имеет огромное значение для компании, а утечка – несет огромные убытки. Чаще всего к такой информации относятся сведения, составляющие коммерческую тайну, но не только.

Например, после принятия новой редакции федерального закона «О персональных данных» в охране нуждаются и все сведения, собираемые организацией о своих сотрудниках и клиентах. Серия прошлогодних утечек из Мегафона, интернет-магазинов и «РЖД», а также штрафы, полученные виновниками этих инцидентов – лучшее доказательство необходимости защиты такой информации.

Важно помнить: сторонние специалисты-аудиторы не могут самостоятельно составить список всех документов, которые необходимо защищать. Работа аудитора должна выполняться совместно с сотрудником предприятия, хорошо знающим особенности документооборота.

Выявление слабых мест в корпоративной безопасности. Эта задача выполняется непосредственно специалистами, проводящими аудит. От результатов этой работы зависит выбор схемы построения информационной безопасности.

При выявлении брешей в информационной и, как следствие, корпоративной безопасности оцениваются не только технические средства. Очень важный момент – наличие разграничения прав доступа сотрудников к той или иной информации, соглашения о неразглашении корпоративной информации. Важно также оценить лояльность работников к руководству и взаимоотношения в коллективе – всё это входит в обязанности отдела по работе с персоналом.

Недавний пример ситуации, когда штатный сотрудник воспользовался своим положением и похитил информацию – кража кенийским представительством Google сведений о стартапе Mocality (онлайн-база бизнес-информации). Google был вынужден принести официальные извинения пострадавшим, а глава представительства, по вине которого произошёл инцидент, был смещен со своей должности.

Оценка возможностей защиты информации. Это завершающий этап аудита, в ходе которого на основании проведенного анализа составляется список конкретных мер, которые необходимо принять для охраны корпоративных секретов компании. Рекомендации могут носить как технический, так и организационный характер.

Кроме того, на этом этапе анализируются и финансовые возможности компании по защите информации, поскольку многие средства защиты информации могут оказаться слишком дорогими для предприятия. А некоторые из этих мер попросту не целесообразны для малого бизнеса. Особая необходимость в DLP-системе возникает, если в организации используется 50 и более компьютеров.

Установку DLP-системы всегда предваряет технический аудит. После заказа 30-дневного бесплатного триала заказчика консультируют инженеры «СёрчИнформ», которые оценивают ИТ-инфраструктуру компании и определяют, сколько мощностей потребуется для установки программы.

Двусторонняя защита

Информационная безопасность – лишь один из многих способов (пусть и самый важный) обеспечить корпоративную защиту. Необходим комплекс мер – технических и организационных.

К техническим решениям по защите корпоративных секретов относится установка DLP-системы (от англ. Data Leak Prevention – предотвращение утечек данных). Этот комплекс программных средств отслеживает все информационные потоки в организации – от электронной почты до программ, использующих алгоритмы шифрования, (к примеру, Skype) или протокол HTTPS. Под контролем также находятся все съемные носители информации, корпоративные компьютеры и ноутбуки.

Важная особенность DLP-систем – их автономность. Компании нет необходимости содержать целый отдел, который занимался бы информационной безопасностью. Достаточно всего нескольких специалистов.

Последние исследования SearchInform, ведущего игрока на российском рынке информационной безопасности, показали, что сейчас в России и странах СНГ DLP-системы не пользуются большой популярностью. Только чуть более половины организаций (58%) планируют в скором времени установку комплексной защиты. Остальные не считают нужным ее внедрение либо полагают, что достаточно и частичной защиты. Однако, информационная безопасность только тогда будет на оптимальном уровне, когда обеспечена комплексная защита.

DLP-система позволяет не только обеспечить надежную защиту секретов. Их функции намного шире: при правильном подходе можно получить информацию о настроениях сотрудников в коллективе, проследить движение ключевых документов, входящие и исходящие сообщения. Как следствие, использование DLP-систем – это еще и эффективное подспорье в таких важных для корпоративной безопасности мероприятиях, как внутренняя контрразведка или служебное расследование.

Впрочем, одной лишь технической безопасности данных и отслеживания действий сотрудников недостаточно. Важны и организационные мероприятия, работа с сотрудниками, разработка внутренней документации.

«Система корпоративной безопасности должна быть комплексной, иначе будет как в анекдоте: на проходной охранник строго проверяет у работников предприятия пропуска, а через двадцать метров от проходной имеется дырка, через которую на территорию фирмы может проникнуть любой желающий», –делится опытом Александр Доронин.

Организационная работа включает в себя информирование персонала о наличии в организации систем информационной безопасности, о необходимости соблюдать коммерческую тайну и возможных последствиях ее разглашения, как для компании, так и для самого сотрудника. Создание благоприятной рабочей атмосферы – еще один ключевой момент организационных мер. Корпоративная безопасность невозможна, если сотрудники недоверчиво косятся один на одного. Такая «холодная война» будет изрядно тормозить бизнес-процессы. Поэтому ещё раз стоит напомнить о важной роли отдела по работе с персоналом.

Что касается разработки внутренней документации, то должны быть четко прописаны обязанности работников, а также их права доступа к тем или иным документам. Каждый отдел должен выполнять возложенные на него задачи – не больше, но и не меньше.

Нельзя забывать и о таких, казалось бы, элементарных вещах, как работа службы безопасности. Физическая защита сотрудников на рабочих местах – тоже немаловажная часть корпоративной безопасности.

Только добившись такой двусторонней – технической и организационной – защиты, не преувеличив и не преуменьшив угрозы, можно создать надежную корпоративную защиту компании.

Основные аспекты информационной безопасности

    Блоги, 27 февраля 2019 в 0:39

Алексей Гришин, куратор направления информационная безопасность школы IT и безопасности HackerU

Ежегодно ущерб российских компаний от киберпреступников составляет 116 млрд рублей. И это только те случаи, которые предаются огласке. Чаще всего компании стараются скрыть, что их системы были взломаны, а данные украдены. Ведь помимо единовременных финансовых потерь, успешные атаки в итоге приводят к падению репутации и котировок.

Создание системы информационной безопасности потребует от крупных компаний и корпораций серьёзных финансовых вложений: от дорогостоящего ПО до пентестов и программ Bug Bounty. Начинающий бизнес не может позволить себе таких расходов, а стартапы и вовсе пренебрегают безопасностью ради максимально быстрого выхода на рынок. Баланс стоимости программного продукта и его защищённости соблюсти не сложно, если придерживаться простых рекомендаций. Ниже – советы, как не прогореть на выстраивании стен и избежать банальных ошибок.

Проверенные решения

Хороший проект пишется безопасно с первой строчки кода. Рассуждать о том, какой язык программирования наименее уязвим, мы не будем, так как у каждого проекта свой путь к выбору инструмента проектирования и уникальная специфика. Общая рекомендация – пользуйтесь проверенными решениями. Если ошибка обнаружена на низком уровне языка программирования — это подвергает опасности весь проект целиком. Несмотря на то, что передовые технологии ускоряют разработку и делают её удобнее, из-за них могут возникнуть проблемы с надежностью и безопасностью. Небольшое запаздывание для бизнеса не критично, но и слишком отставать тоже не стоит. Пользуйтесь языками и решениями, динамично развивающимися и вышедшими из тестирования. Такой подход повысит стабильность вашей разработки, и вам не придётся менять платформу из-за критических недочётов языка, базы данных или другого компонента.

Защита пользовательских данных

Подсистема идентификации и аутентификации является одной из самых важных компонент, так как предоставляет доступ к пользовательскими данным. Нельзя проектировать продукт так, чтобы аутентификацию можно было пропустить в критическом месте или допускалась бы подмена параметров. Даже если вы работаете над приложением по поиску и созданию музыки, будет неприятно, когда злоумышленник сможет войти под именем пользователя, узнать о его предпочтениях, а тем более украсть сочинённые композиции.

Читать еще:  Скалярное произведение matlab

Бережное отношение к данным и проверка их корректности — залог спокойствия и доверия клиентов. У всех современных приложений есть внутренняя валюта или иные способы монетизации. А для банковских продуктов безопасность — уж точно один из главных критериев оценки. Простая забытая проверка на знак в процессе передачи суммы от одного пользователя другому может привести к катастрофическим последствиям. Отрицательный знак в отправленных данных приведёт к обратной операции: средства со счёта получателя уйдут отправителю платежа.

В современном мире злоумышленники охотятся не только за деньгами, но и за персональными данными пользователей. Их раскрытие зачастую оказывается болезненнее, чем финансовые потери на счёте. Один из последних примеров: хакеры взломали сервис Quora.com и получили доступ к логинам, почтовым адресам и паролям ста миллионов пользователей. По оценке киберкриминалистов, уязвимость скорее всего скрывалась в недостаточно надёжной системе шифрования пользовательских паролей. Прямых финансовых убытков компания не понесла, но доверие пользователей потеряла.

Тестирование

Начинающие разработчики ПО всегда экономят время на тестировании, а иногда даже вносят модификации кода сразу на работающую версию сервиса. Помимо ошибок внутри кода, которые наверняка будут, могут возникнуть проблемы с логикой. Поэтому перед запуском проект нужно обязательно протестировать! Ошибки логики не очевидны и трудно предсказуемы. Бывает и так, что из-за мелкого программистского недочёта при получении доступа к одному файлу, пользователю открывается всё содержимое папки. В автоматическом режиме такую ошибку найти сложно, ведь функциональность она не нарушает, а вот проблем в безопасность добавляет массу.

Аналитика — всему голова

Обязательно настраивайте и постоянно поддерживайте в рабочем состоянии систему логирования. Это единственный способ, который позволит собирать данные о пользователях: как они обращались, зачем, с какой периодичностью, какого типа запросы посылали. Чем больше данных вы будете держать в своей аналитической системе, тем с большей вероятностью вам удастся вычислить злоумышленника при попытке взлома. Или, если атака окажется успешной, вы сможете понять, через какой вектор был нанесён удар. Если вы информированы о своих уязвимостях, то вы сможете их устранить.

Резервное копирование

Не забывайте о регулярных бэкапах. Ведь злоумышленники могут и не взламывать проект, а использовать его в качестве платформы для распространения вирусов: изменить некоторые данные на сайте или внутри приложения. Изначально запрограммированная система так и будет продолжать рассылать заражённый контент и, возможно, пожирать саму себя. Искать причины поломки в этом случае можно будет очень долго. Гораздо быстрее и надёжнее будет откатиться к безопасному состоянию кода.

Только после настройки систем логирования и бэкапирования можно выпускать сервис «к пользователям». Кроме того, системы мониторинга (IDS/IPS) помогут вам уберечь себя от последствий халатной работы администраторов информационных систем, а также помогут в тестах продуктов на наличие ошибок.

Защита и шифрование

Используйте шифрование пользовательских данных там, где оно уместно. Пароль пользователя, его персональная платёжная информация, а также конфиденциальная переписка должны храниться в зашифрованном виде. Но вот загруженные общедоступные данные шифровать не стоит, так как их расшифровка тратит ресурсы и не приносит пользы.

И последнее: не пытайтесь создать абсолютно неуязвимый код, так как, по нашему мнению, 100% безопасных проектов не бывает. Экстремальные ситуации или находчивые злоумышленники выводят из равновесия даже системы, которые изначально казались идеальными. Проводя аналогию с банковскими приложениями, можно сказать, что задача специалиста по IT-безопасности – сделать так, чтобы стоимость атаки многократно превышала прибыль, которую теоретически можно получить от взлома.

Основные аспекты информационной безопасности

Федеральное агентство связи

Бурятский институт инфокоммуникаций

ФГОБУ ВО “СибГУТИ”

Кафедра: «Информатики и ВТ»

РЕФЕРАТ на тему:

Основные аспекты информационной безопасности

Выполнила: Батуева Ж.Д.

Проверила: Жамбаев Б.Ц.

1. Основные аспекты информационной безопасности…………………4

2.Объём (реализация) понятия «информационная безопасность»…….8

Список использованной литературы…………………………………….11

Информационная безопасность, как и защита информации, задача комплексная, направленная на обеспечение безопасности, реализуемая внедрением системы безопасности. Проблема защиты информации является многоплановой и комплексной и охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

На сегодняшний день сформулировано три базовых принципа, которые должна обеспечивать информационная безопасность:

-целостность данных — защита от сбоев, ведущих к потере информации, а также зашита от неавторизованного создания или уничтожения данных;

-доступность информации для всех авторизованных пользователей.

При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на обеспечение компьютерной безопасности, основными среди них являются технические, организационные и правовые.

Особенно актуальны вопросы информационной безопасности государства, в частности – России.

Цель работы – рассмотрение обеспечения информационной безопасности России.

Предмет работы – информационная безопасность.

Объект работы – процессы обеспечения информационной безопасности государства.

Задачи, поставленные в работе:

-рассмотреть особенности информационной безопасности как категории;

-рассмотреть нормативно-правовую базу обеспечения информационной безопасности;

-рассмотреть особенности процесса обеспечения информационной безопасности в России.

Работа состоит из введения, основной части, в которой рассматриваются теоретические и практические аспекты изучаемой проблемы, заключения и списка использованной литературы.

Основные аспекты информационной безопасности

Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.

Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.

Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.

Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Информационная безопасность (англ. information security) — все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчётности, аутентичности и достоверности информации или средств её обработки.

Безопасность информации (данных) (англ. information (data) security) — состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые в автоматизированной системе.

Безопасность информации (при применении информационных технологий) (англ. IT security) — состояние защищённости информации (данных), обеспечивающее безопасность информации, для обработки которой она применяется, и информационную безопасность автоматизированной информационной системы, в которой она реализована.

Безопасность автоматизированной информационной системы — состояние защищённости автоматизированной системы, при котором обеспечиваются конфиденциальность, доступность, целостность, подотчётность и подлинность её ресурсов.

Информационная безопасность — защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений. Поддерживающая инфраструктура — системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Неприемлемый ущерб — ущерб, которым нельзя пренебречь.

Существенные признаки понятия

В качестве стандартной модели безопасности часто приводят модель из трёх категорий:

— Конфиденциальность (англ. confidentiality) — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право;

— целостность (англ. integrity) — избежание несанкционированной модификации информации;

— доступность (англ. availability) — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа.

Выделяют и другие не всегда обязательные категории модели безопасности:

— неотказуемость или апеллируемость (англ. non-repudiation) — способность удостоверять имевшее место действие или событие так, что эти события или действия не могли быть позже отвергнуты;

— подотчётность (англ. accountability) — обеспечение идентификации субъекта доступа и регистрации его действий;

— достоверность (англ. reliability) — свойство соответствия предусмотренному поведению или результату;

— аутентичность или подлинность (англ. authenticity) — свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Основные аспекты защиты персональных данных на предприятии Текст научной статьи по специальности «Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Трубачева Светлана Ивановна

Излагается материал об основных положениях законодательных документов по обеспечению защиты персональных данных , в том числе, организационные , правовые мероприятия , технические методы и средства защиты персональных данных . Дана классификация технических мероприятий по защите персональных данных .

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Трубачева Светлана Ивановна

It regards main points of legal papers to provide personal data protection including organizational , legal activity and technical ways and security equipment for personal data protection . Offered the activity classification to protect personal data .

Текст научной работы на тему «Основные аспекты защиты персональных данных на предприятии»

ОСНОВНЫЕ АСПЕКТЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

MAIN ASPECTS FOR PERSONAL DATA PROTECTION AT THE ENTERPRISE

Читать еще:  Система защиты государственной тайны pdc

Ключевые слова: персональные данные, организационные, правовые мероприятия, технические методы и средства защиты персональных данных.

Key words: personal data, organizational, legal activity, technical ways and security equipment for personal data protection.

Излагается материал об основных положениях законодательных документов по обеспечению защиты персональных данных, в том числе, организационные, правовые мероприятия, технические методы и средства защиты персональных данных. Дана классификация технических мероприятий по защите персональных данных.

It regards main points of legal papers to provide personal data protection including organizational, legal activity and technical ways and security equipment for personal data protection. Offered the activity classification to protect personal data.

Многие юридические лица и индивидуальные предприниматели в ходе осуществления своей деятельности работают с физическими лицами. При предоставлении различных документов физические лица сообщают свои персональные данные (ПД), такие как фамилия, имя, отчество, дата рождения и другие. Эти сведения в соответствии с законодательством РФ подлежат особому режиму хранения и обращения с ними. Основным правовым актом, регулирующим отношения в сфере защиты персональных данных, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ). В настоящее время постепенно завершается переходный период по внесению необходимых изменений в существующие информационные системы (ИС) ПД, рассмотрение положений Федерального закона № 152-ФЗ, анализ существующих методов и средств защиты ПД, проектирование и внедрение системы защиты ПД на предприятиях РФ любой формы собственности становится в настоящее время особенно актуальным. В соответствии со ст. 7 Федерального закона № 152-ФЗ операторы и третьи лица, получающие доступ к персональным данным, должны обеспечивать их конфиденциальность.

Обработка ПД представляет собой действия с ПД, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение. Федеральным законом N 152-ФЗ устанавливаются принципы обработки ПД (таблица 1).

Хранение ПД должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Правительство РФ Постановлением от 17.11.2007 № 781 утвердило Положение об обеспечении безопасности ПД при их обработке в информационных системах ПД. Данное Положение устанавливает требования к обеспечению безопасности ПД при их обработке в информационных системах, представляющих собой совокупность ПД, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких данных с использованием средств автоматизации (далее — информационные системы — ИС).

Таблица 1 — Основные принципы обработки персональных данных, установленные ФЗ РФ

№ п/п Название принципа Пояснение

1. Законность целей и способов Законность целей и способов обработки персональных данных и добросовестности

2. Соответствие целей обработки заранее определенным целям Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора

3. Соответствие способов обработки целям обработки Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных

4. Достоверность, достаточность данных Достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных

5. Недопустимость объединения баз данных ИС Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных

Под техническими средствами, позволяющими осуществлять обработку ПД, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПД (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Безопасность ПД достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПД, а также иных несанкционированных действий. Безопасность ПД при их обработке в информационных системах обеспечивается с помощью системы защиты ПД.

Аппаратно-программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. Конкретные методы и способы защиты информации в информационных системах по работе с ПД устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий. Достаточность принятых мер оценивается при проведении государственного контроля и надзора. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Для разработки и осуществления мероприятий по обеспечению безопасности ПД при их обработке в ИС оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности ПД. Для защиты информации, передаваемой по каналам связи, существует четыре основных класса методов защиты: 1) физические; 2) аппаратные; 3) программные; 4) организационные. На рисунке 1 показаны четыре уровня защиты, расположенных в той последовательности, в которой они защищают информацию, хранящуюся на компьютере.

Организационная защита характеризуется совокупностью организационнотехнических мероприятий, разработкой и принятием законодательных актов по вопросам защиты информации и т.д.

Физическая защита используется на верхних уровнях защиты и состоит в физическом преграждении доступа посторонних лиц к процессу обработки данных. Для физической защиты применяются средства: служба охраны, состоящая из квалифицированных сотрудни-

ков служб безопасности; лазерные и оптические системы, реагирующие на пересечение нарушителем световых лучей; системы нейтрализации излучений; системы защиты окон и дверей от несанкционированного проникновения и т.д.

Аппаратная защита реализуется аппаратурой в составе ЭВМ или с помощью специализированных устройств. К аппаратным средствам защиты относятся различные схемы блокировки от несанкционированного использования.

Программная защита реализуется с помощью различных программ: операционных систем; программ обслуживания; антивирусных пакетов; инструментальных; специализированных программ защиты; прикладных программ.

Рисунок 1 — Уровни защиты в системе передачи данных

Законодательная, нормативная база учета ПД

Системная управляющая информация

Персональные данные сотрудников

Персональные данные студентов

Рисунок 3 — Диаграмма нулевого уровня защиты персональных данных

С помощью программно-аппаратных средств можно решать как основные задачи информационно-программного обеспечения в ВС (от хищения, от потери, от сбоев и отказов оборудования), так и защиту от ошибок в программах.

Решение этих задач обеспечивается следующими способами: 1. Защитой от несанкционированного доступа к ресурсам со стороны пользователей и программ. 2. Защитой от несанкционированного использования ресурсов при наличии доступов. 3. Защитой от некор-

ректного использования ресурсов. 4. Внесением структурной функциональной и информационной избыточности. 5. Высоким качеством разработки программно-аппаратных средств.

Законодательная, нормативная база учета ПД

Персональные данные 11 сотрудников

Персональные данные |2- студентов

Системная управляющая информация

^ Обеспечение выполнения технических мероприятий

Рисунок 4 — Диаграмма первого уровня «Защита персональных данных»

Законодательная, нормативная база учета ПД С1

Системная управляющая информация

Рисунок 5 — Диаграмма второго уровня «Обеспечение выполнения технических мероприятий»

Рисунок 6 — Перечень мероприятий по обеспечению защиты персональных данных

Рисунок 7 — Перечень мероприятий технической защиты персональных данных

На рисунках 3 — 5 представлен комплекс взаимосвязанных диаграмм, разработанных «сверху-вниз» методом декомпозиции, позволяющий отобразить совокупность мероприятий, методов и средств защиты персональных данных в образовательном учреждении. Анализ спроектированных диаграмм позволил сформировать план действий по защите ПД на предприятии (рисунки 6, 7).

Общий перечень технических мероприятий по защите ПД на предприятии включает:

— предотвращение несанкционированного доступа к ПД (регламентирование доступа сотрудников к обработке ПД, парольная и антивирусная защита);

— проведение мероприятий, направленных на своевременное обнаружение фактов несанкционированного доступа к ПД (регламентирование использования и регулярное обновление антивирусных средств);

— недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование (охрана и регламентирование использования технических средств);

— возможность незамедлительного восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (хранение резервных копий на съемных маркированных носителях).

Таким образом, обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных имеет целью защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Оператором выступает юридическое лицо, организующее и (или) осуществляющие обработку персональных данных. Законодательными актами РФ установлена необходимость защиты персональных данных пользователя, установлены требования к обеспечению безопасности персональных данных при их обработке. Оператор обязан исполнить требования федерального закона.

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

2. Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

3. Приказ МОиН РФ от 18 ноября 2009 г. № 2114 «Об утверждении положения об обработке и защите персональных данных в федеральном агентстве по образованию».

Ссылка на основную публикацию
Adblock
detector