что такое система защиты информации
Системы защиты информации
Вы будете перенаправлены на Автор24
Системой защиты информации называется комплекс технических и организационных мер, которые направлены на обеспечение информационной безопасности организации.
Главным объектом защиты являются данные, обрабатываемые в автоматизированной системе управления, и задействованные при осуществлении рабочих процессов.
В лучшем случае система защиты информации может быть адекватна потенциальным угрозам. Поэтому перед планированием защиты, необходимо определить, кого и какая именно информация может заинтересовать, ее ценность, а также, на какие жертвы готов пойти злоумышленник для ее получения.
Система защиты информации: сущность, основные направления защиты и их технические средства
Система защиты информации должна быть комплексной, то есть применять не только технические, но также правовые и административные средства защиты. Система защиты характеризуется не только гибкостью, но и адаптацией к быстро меняющимся условиям окружающей среды. При этом главную роль играют административные мероприятия (например, регулярная смена паролей, строгий порядок их хранения, а также правильное распределение пользовательских полномочий и анализ журналов регистрации событий в системе).
Специалист, который отвечает за все вышеперечисленные действия, должен быть не только преданным работником, но и квалифицированным экспертом, как в сфере технических средств защиты, так и в сфере вычислительных средств в целом.
На сегодняшний день можно выделить множество направлений защиты информации и технических средств, которые им соответствуют:
Готовые работы на аналогичную тему
Атакующая сторона своей главной целью ставит снижение в противоборствующей системе показателей достоверности, своевременности и безопасности информационного обмена до того уровня, который приводит к потере управления.
Требования, предъявляемые к системе защиты информации
К системе защиты информации, кроме общего концептуального требования, предъявляются целевые требования, которые разделяются на экономические, функциональные, техническое, эргономические и организационные.
Система защиты информации, которая сформирована на сегодняшний день, включает следующие общеметодологические принципы:
Полнота контроля подразумевает, что все процедуры по защите информации должны контролироваться в полном объеме системой защиты, причем ключевые результаты контроля фиксируются в специальных журналах регистрации.
Активность реагирования значит, что система защиты информации должна реагировать на любые несанкционированные действия. Характер реагирования может быть разным, но он обязан включать в себя:
Под организационным построением необходимо понимать общую организацию системы, которая адекватно отражает концептуальные подходы к ее формированию. В современных АСОД в соответствии с изложенной концепцией защиты информации, организационное построение системы защиты информации представляется так, как изображено на схеме.
Рисунок 1. Требования, предъявляемые к системе защиты информации в АСОД. Автор24 — интернет-биржа студенческих работ
Организационно система защиты информации состоит из трех основных частей:
В механизмах по обеспечению защиты можно выделить два организационных компонента: переменные механизмы и постоянные механизмы. Под постоянными понимаются такие механизмы, которые в процессе создания системы защиты информации встраиваются в компоненты АСОД и находятся в рабочем состоянии на протяжении всего времени функционирования соответствующих компонентов. Переменными же называются механизмы, которые являются автономными, используются для решения задач по защите информации и предполагают предварительное выполнение операций ввода в состав применяемых механизмов.
В организационном построении системы защиты информации должны предусматриваться подсистемы защиты на объектах АСОД, а также управляющее звено, которое именуется ядром системы защиты.
Ядро системы защиты информации – это специальный компонент, который предназначен для объединения всех подсистем системы защиты в единую целостную систему обеспечения, организации и контроля ее функционирования.
Система защиты информации – это автоматизированная система, структурное построение которой определяется по аналогии со структурным построением АСОД.
Получи деньги за свои студенческие работы
Курсовые, рефераты или другие работы
Автор этой статьи Дата написания статьи: 10 03 2019
Эксперт по предмету «Информационная безопасность»
Основы информационной безопасности. Часть 2. Информация и средства её защиты
В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.
Информация и ее классификация
Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».
Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:
Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:
Персональные данные
Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.
Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.
Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.
Основные носители информации:
Классификация средств защиты информации
В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
Средства защиты информации
Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты информации
Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.
В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.
Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.
Формальные средства защиты информации
Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.
К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы.
DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.
Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.
Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.
В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.
Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.
Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.
Рисунок 2. Классификация средства защиты информации.
Технологии защиты информации: как не стать целью кибератаки
Технологии защиты информации включают способы противодействия направленным атакам, профилактику внутрикорпоративной безопасности. Правильный выбор, применение, администрирование СЗИ (средств защиты информации) гарантирует, что важные сведения компании не попадут в чужие руки.
Наряду с несанкционированными действиями третьих лиц зачастую периметр безопасности информации прорывается изнутри. Даже не по злому умыслу, просто человеческий фактор – та же невнимательность. Из нашего материала вы узнаете об основных средствах и технологиях защиты информации от злоумышленников.
Суть информационной безопасности
Информационной безопасностью называют определенные условия, при которых ценные сведения защищены от любых внешних воздействий (естественных и искусственных). Взлом таких данных и поддерживающей их инфраструктуры, как правило, может навредить владельцу.
Выделяют три составляющих информационной безопасности:
Решение проблем, связанных с защитой информации, должно основываться на научном подходе и быть методологически верным. Первым шагом в этом случае станет выявление субъектов информационных отношений и использования систем сбора данных, сопряженных с ними. Методы поиска, сбор и хранения сведений также могут являться угрозой для их сохранности.
Ущерб от нарушения информационной безопасности можно выразить в денежном эквиваленте, но невозможно застраховать себя абсолютно от всех рисков. С экономической точки зрения использование некоторых видов технологии защиты информации и профилактических мероприятий обойдутся дороже потенциальной угрозы. То есть некоторые виды воздействия допускаются, а другие нет.
Ваш Путь в IT начинается здесь
Существует также неприемлемый ущерб, к которому относится нанесение вреда здоровью людей или окружающей среде. Тогда финансовая составляющая уходит на второй план. В любом случае первоочередная задача информационной безопасности — снижение любых убытков до приемлемого значения.
Виды угроз информационной безопасности
Угроза — любое действие, потенциально способное нанести урон информационной безопасности. Атака — ситуация, которая предполагает такую угрозу, а планирующий её человек — это злоумышленник. Потенциальными злоумышленниками являются все лица, способные нанести вред.
Самая распространенный случай здесь — ошибки специалистов, которые работают с информационной системой. Это могут быть непредумышленные действия, вроде ввода некорректных данных и системного сбоя. Такие случайности являются потенциальной угрозой, из-за них в системе появляются уязвимые места, которые используют злоумышленники. В качестве технологии защиты информации в сети здесь могут выступать автоматизация (минимизация человеческого фактора) и административный контроль.
Что является источником угрозы доступности?
Основная угроза целостности – это кража и подделка, которые также чаще всего осуществляются работниками компании.
Известная американская газета USA Today опубликовала любопытные данные по этому вопросу. Еще в 1992 году, когда компьютеры играли не такую большую роль, общий нанесенный ущерб от такой угрозы составил 882 000 000 долларов. Сейчас эти суммы значительно выше.
Давайте рассмотрим, что может стать источником угрозы целостности?
Сюда относится использование паролей для несанкцинированного доступа злоумышленниками. Благодаря использованию этих данных они могут получить доступ к частной информации и конфиденциальным сведениям.
Мы в GeekBrains каждый день обучаем людей новым профессиям и точно знаем, с какими трудностями они сталкиваются. Вместе с экспертами по построению карьеры поможем определиться с новой профессией, узнать, с чего начать, и преодолеть страх изменений.
Карьерная мастерская это:
Уже 50 000 человек прошли мастерскую и сделали шаг к новой профессии!
Запишитесь на бесплатный курс и станьте ближе к новой карьере:
Зарегистрироваться и получить подарки
Что служит источником угрозы конфиденциальности?
Основная суть угрозы конфиденциальности — данные становятся уязвимыми и из-за этого злоумышленник получает к ним доступ.
Цели кибератак
Для начала приведем любопытную статистику. Согласно мировым исследованиям, только за прошлый год 91% компаний подвергались кибератакам хотя бы раз. Если взять Россию отдельно, то статистика не лучше — 98% фирм сталкивались с внешними атаками. Еще 87% получили урон из-за внутренних угроз (утечке сведений, некорректных действий сотрудников, заражение программами и так далее).
Ущерб только от одного «нападения» злоумышленников может составить 800 тысяч рублей. Несмотря на все это, четверть российских компаний не используют никакие технологии защиты информации в сети интернет и телекоммуникационных сетях. Даже стандартные методы, вроде антивирусных программ.
Цели кибератак
Новые вирусы создаются постоянно, автоматические системы фиксируют более 300 тысяч образцов вредоносных программ ежедневно. Они способны нанести значительный урон пользователям и фирмам, таких случаев в истории предостаточно. Например, в США злоумышленники взломали систему магазина Target и получили данные о 70 миллионах кредитных карт их клиентов.
С какой целью совершаются кибератаки?
Компании хотят получить доступ к коммерческой тайне конкурентов, к персональным данным клиентов и сотрудников. Участились случаи атак, которые получили название MiniDuke. Они направлены на государственные и дипломатические структуры, военные учреждения, энергетические компании, операторов связи.
Доступ к ним — это доступ к огромным ресурсам. Вредоносные ПО действуют хитро, они подменяют популярные сайты и приложения. В точности копируют логотипы, описания файлов и даже их размеры. Программа крадет пароли, списки контактов, историю браузера и другие конфиденциальные данные
Существуют программы, которые полностью стирают данные на серверах без какой-либо возможности их восстановления (например, Shamoon и Wiper). Пару лет назад таким атакам подверглась нефтяная компания Saudi Arabian Oil Company. Тогда с 30 тысяч компьютеров исчезли сведения, оборудование просто перестало включаться.
Сюда относятся троянские ПО, которые крадут деньги с помощью систем дистанционного банковского обслуживания.
Использование DDOS-атак, которые парализуют внешние веб-ресурсы компаний на несколько дней и мешают работе.
Для этих целей взламываются корпоративные сайты, куда внедряются посторонние ссылки или баннера. Если пользователь перейдет по ним, то попадет на вредоносный ресурс. Также на сайте фирмы могут быть размещены любые дискредитирующие сведения, изображения, высказывания и так далее. Таким атакам подверглись пару лет назад две известные компании, которые занимаются защитой данных.
Для компании это будет означать снижения доверия пользователей, поскольку документ потеряет свой статус и клиенты не будут уверены в безопасности данных. Такие потери могут привести даже к закрытию бизнеса.
Основные принципы защиты информации
Внедрение технологий защиты информации в интернете и в организациях подчиняется некоторым базовым принципам, о которых мы расскажем ниже.
Задачи специалистов информационной безопасности
Что входит в должностные обязанности сотрудников, которые занимаются организацией системы защиты данных в компании? Они:
Средства защиты информации
К наиболее популярным современным технологиям защиты информации относят антивирусные программы, которые используют более 60% предприятий. Четверть организаций не применяет никакие средства охраны данных. Прослеживается тенденция: чем меньше компания, тем ниже у нее уровень безопасности. Маленькие фирмы пренебрегают любыми мерами и не уделяют этому вопросу должного внимания.