Защита информации на предприятии: методы и средства реализации задачи. Защита информации на предприятии: методы и средства реализации задачи Угрозы безопасности информации в компьютерных системах и их классификация

Содержание
  1. Информационная безопасность. Виды угроз и защита информации
  2. Информационная безопасность
  3. Угрозы информационной безопасности
  4. Методы и средства защиты информации
  5. Ссылки и источники
  6. Классификация методов защиты информации
  7. Виды информационных угроз
  8. Современные методы защиты информации
  9. Средства защиты информационных систем
  10. Защита передаваемых электронных данных
  11. Классы безопасности информационных систем
  12. Средства защиты информации на предприятии: антивирус, обучение персонала и другие методики
  13. Оценка рисков
  14. Возможные источники проблем
  15. Примеры неправомерных действий
  16. Процесс организации защиты информации на предприятии
  17. Меры защиты
  18. Формирование системы доступа к данным внутри корпоративной сети
  19. Антивирусная защита
  20. Системы обнаружения и защиты от кибератак
  21. Обучение персонала сетевой безопасности
  22. Заключение
  23. : Подход к защите информации на современном Предприятии
  24. Способы защиты информации | Методы и средства защиты информации
  25. Способы неправомерного доступа к информации
  26. Методы защиты
  27. Организационные средства защиты информации
  28. Технические средства защиты информации
  29. Аутентификация и идентификация
  30. Методы организации защиты информации | Защита информации
  31. Референция защитных действий
  32. Выводы
  33. Гост р 53114-2008 защита информации. обеспечение информационной…
  34. Предисловие
  35. 1 Область применения
  36. 2 Нормативные ссылки
  37. 3.1 Общие понятия

Информационная безопасность. Виды угроз и защита информации

Защита информации на предприятии: методы и средства реализации задачи. Защита информации на предприятии: методы и средства реализации задачи Угрозы безопасности информации в компьютерных системах и их классификация

IT В ЭКОНОМИКЕ

   24.04.2014   120 524   0  

В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня – ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность.

Угроз безопасности информационных ресурсов предприятия много – это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое.

Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности.

Информационная безопасность

Информационная безопасность (англ. «Information security») – защищенность информации и соответствующей инфраструктуры от случайных или преднамеренных воздействий сопровождающихся нанесением ущерба владельцам или пользователям информации.

Информационная безопасность – обеспечение конфиденциальности, целостности и доступности информации.

Цель защиты информации – минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности:

1. Угрозы конфиденциальности – несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).

2. Угрозы целостности – несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).

3. Угрозы доступности – ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки).

Источники угроз:

1. Внутренние:

а) ошибки пользователей и сисадминов;

б) ошибки в работе ПО;

в) сбои в работе компьютерного оборудования;

г) нарушение сотрудниками компании регламентов по работе с информацией.

2. Внешние угрозы:

а) несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.);

б) компьютерные вирусы и иные вредоносные программы;

в) стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).

Методы и средства защиты информации

Методы обеспечения безопасности информации в ИС:

  • Препятствие – физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
  • Управление доступом – регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т.д. (например,когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
  • Криптография – шифрование информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи).
  • Противодействие атакам вредоносных программ (англ. «malware») предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т.д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т.п.).
  • Регламентация – создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т.д.).
  • Принуждение – установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью(штрафы, закон «О коммерческой тайне» и т.п.).
  • Побуждение – призыв к персоналу не нарушать установленные порядки по работе с информацией, т.к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).

Средства защиты информации:

  • Технические (аппаратные) средства – сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, электронные ключи и т.д.
  • Программные средства – программы-шифровальщики данных, антивирусы, системы аутентификации пользователей и т.п.
  • Смешанные средства – комбинация аппаратных и программных средств.
  • Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

Ссылки и источники

Галяутдинов Р.Р.

 © Копирование материала допустимо только при указании прямой гиперссылки на источник: Галяутдинов Р.Р.

Еще можно почитать:

Источник: http://galyautdinov.ru/post/informacionnaya-bezopasnost

Классификация методов защиты информации

Защита информации на предприятии: методы и средства реализации задачи. Защита информации на предприятии: методы и средства реализации задачи Угрозы безопасности информации в компьютерных системах и их классификация

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

  • Потеря информации вследствие повреждения носителей – жестких дисков;
  • Ошибки в работе программных средств;
  • Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

  • Препятствие;
  • Маскировка;
  • Регламентация;
  • Управление;
  • Принуждение;
  • Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

  • Физические;
  • Программные и аппаратные;
  • Организационные;
  • Законодательные;
  • Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна.

Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы.

Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки.

Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений.

При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения.

При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации.

Для создания личной заинтересованности персонала руководители используют разные виды поощрений.

К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида.

В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования.

Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу.

ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований.

Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

  • D – нулевой уровень безопасности;
  • С – системы с произвольным доступом;
  • В – системы с принудительным доступом;
  • А – системы с верифицируемой безопасностью.

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей.

Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля.

При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

  • Снабжение метками секретности всех ресурсов системы;
  • Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
  • Структурирование доверенной вычислительной базы на хорошо определенные модули;
  • Формальную политику безопасности;
  • Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.

https://www.youtube.com/watch?v=gPAsOxrp8QU\u0026list=PLp6dvL4JxDRjk1aPgwKwZYIucDfFf6Q0m

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем:

Источник: https://camafon.ru/informatsionnaya-bezopasnost/metodyi-zashhityi

Средства защиты информации на предприятии: антивирус, обучение персонала и другие методики

Защита информации на предприятии: методы и средства реализации задачи. Защита информации на предприятии: методы и средства реализации задачи Угрозы безопасности информации в компьютерных системах и их классификация

Для современных предприятий характерно стремительное развитие их информационной среды. Постоянное накопление информации требует ее надлежащей обработки и хранения.

В результате работы с данными важной задачей является организация защиты информации на предприятии.

Если правильно не организовать работу в этом направлении, то можно потерпеть крах в современной экономической среде, которая не всегда отличается доброжелательной конкуренцией.

Рекомендации по защите информации на предприятии

Зачастую все обстоит по-другому, конкурирующие фирмы стараются правильными и неправильными способами получить информацию о своем конкуренте, чтобы опередить его в развитии и продвижении на рынке.

На сегодня защита информации на предприятии представляет собой комплекс мер, которые направлены на то, чтобы сохранить целостность, уберечь от кражи и подмены следующих данных:

  1. база данных клиентов и партнеров;
  2. электронный документооборот компании;
  3. технические нюансы деятельности предприятия;
  4. коммерческие тайны.

Для успешного управления огромными потоками перечисленных данных предприятие должно иметь систему менеджмента информационной безопасности.

Способы защиты информации

Она должна непрерывно работать на решение задачи защиты важной информации и отличаться хорошей защитой от внешних угроз и атак.

Также Вы можете прочесть статью: Основные средства и технологии по защите информации в интернете

Оценка рисков

Система защиты информации на предприятии должна разрабатываться с учетом рисков, которые наиболее часто встречаются в информационной среде современных компаний.

К основным из них следует отнести:

  • попытки получения доступа к данным, которые недоступны для неавторизованных пользователей информационной системы предприятия;
  • несанкционированное изменение и подмена информации, которая может привести к потере предприятиями своей репутации и имиджа;
  • попытки получения доступа и кражи конфиденциальной, секретной и технической информации.

Исходя из перечисленных рисков, должны выбираться методы и алгоритмы защиты важной для предприятия информации.

Защита информации компьютера

Чтобы эту задачу решить положительно, на предприятии должна быть разработана и внедрена информационная политика, согласно которой производится градация данных, которая могут иметь открытый или только закрытый доступ.

Возможные источники проблем

Чтобы правильно выбрать методы защиты информации на предприятии и эффективно использовать их следует определиться с источниками возможных угроз потери данных.

К основным из них относятся:

  1. сбои в аппаратной системе предприятия, обеспечивающей обработку и хранения данных;
  2. мошенничество с целью получения доступа к информации;
  3. искажение данных с целью получения неправомерной выгоды или нанесения ущерба компании;
  4. подлог данных или их хищение с помощью различных аппаратных и программных средств;
  5. кража информации с помощью устройств, использующих для этого электромагнитное излучение, акустические сигналы, визуальное наблюдение.

Перечисленные угрозы могут исходить как от сторонних лиц, которым нужны определенные данные компании в личных интересах, конкурирующие фирмы или сотрудники организаций, которые небрежно выполняют свои функциональные обязанности, или решили передать важные данные конкурентам.

https://www.youtube.com/watch?v=XnNe5iquzqU\u0026list=PLp6dvL4JxDRjk1aPgwKwZYIucDfFf6Q0m

Если угроза исходит от сотрудников, то они, скорее всего, постараются незаметно скопировать информацию, воспользовавшись своими полномочиями, и передадут ее третьим лицам.

Воровство конфиденциальной информации с помощью хакеров

Когда данные стараются получить сторонние лица, в основном используются различные программные средства.

Они делятся на:

  • спам-рассылку с вредоносными ссылками;
  • вирусные программы;
  • троянские и шпионские плагины;
  • игровые закладки с измененным кодом под вирусный софт;
  • ложное программное обеспечение с измененными функциями.

Учитывая перечисленные угрозы, защита конфиденциальной информации на предприятии должна строиться как на аппаратном, так и программном уровне. Только в комплексе можно успешно защитить свои данные от киберзлоумышленников.

Примеры неправомерных действий

В качестве примера неправомерных действий, направленных на получение выгоды от подделки, замены, кражи информации можно привести следующие.

  1. Злоумышленник получает доступ к данным клиентов банка. Имея в наличии информацию о физлице, номерах его счетов, платежных карт, он может подделать документы или банковские карты и неправомерно снять деньги со счета другого человека.
  2. Если киберпреступник получит доступ к электронным копиям документов, он сможет подделать оригинальные документы и оформить кредит на другого человека.
  3. Во время расчета в интернет-магазине, злоумышленник, используя специальные плагины, может подменить реквизиты магазина, переведя деньги покупателя на свой счет, а не в магазин.
  4. При передаче важной технической информации каналами связи, кибершпионы, используя различные средства слежения и считывания, могут просканировать канал, по которому передается информационный трафик и получить доступ к техническим секретам предприятия.

Процесс организации защиты информации на предприятии

К основным этапам комплексной защиты информации на предприятии относятся:

  • формирование информационной политики предприятия, компании;
  • создание внутреннего правового поля использования информации;
  • формирование подразделения информационной защиты и безопасности.

Защитная деятельность компании должна вестись в следующих направлениях:

  1. защита данных, которые обрабатываются и хранятся в архивах;
  2. исключение вероятности несанкционированного проникновения в информационную среду компании;
  3. правильная работа с персоналом для исключения краж важных данных сотрудниками компании.

Меры защиты

Для повышения информационной безопасности предприятиями активно используются следующие меры безопасности.

Возможно Вас заинтересует статья: Классификация методов защиты информации в современных реалиях

Формирование системы доступа к данным внутри корпоративной сети

Предприятиями используются различные автоматизированные системы управления доступом к данным согласно приоритетам и статусам сотрудников компании.

Это упрощает процедуру отслеживания перемещения потоков данных и выявления утечек информации.

Антивирусная защита

Использование эффективного антивирусного программного обеспечения исключит вероятность кражи данных с помощью специального софта.

Защита от вирусов на комппьютере

Он может попасть в информационную среду компании по сети интернет .

Зачастую практикуется параллельное использование двух программных продуктов, отличающихся разными алгоритмами определения шпионского и вирусного софта.

Системы обнаружения и защиты от кибератак

Подобного рода системы активно внедряются в информационные системы предприятий, поскольку позволяют защитить не только от распространения программ с вредоносным кодом, а и блокируют попытки остановки информационной системы предприятия.

Обучение персонала сетевой безопасности

Многие компании проводят для своих сотрудников семинары и конференции, на которых обучают безопасному поведению в локальной и глобальной сетевой среде, а также безопасному обращению с информацией во время выполнения своих ежедневных функциональных обязанностей.

Обучение персонала на предприятии

Это существенно сокращает риски, того что информация будет утеряна или передана третьим лицам по небрежности сотрудников.

Заключение

Комплексная система защиты информации на предприятии – это сложная задача, которую предприятию самостоятельно решить достаточно сложно.

Для этого существуют специализированные организации, которые помогут сформировать системы информационной безопасности для любого предприятия.

Квалифицированные специалисты умело создадут структуру защиты, концепцию ее внедрения в конкретной компании, а также выберут подходящие аппаратные и программные средства для решения поставленной задачи.

Также ими проводится подготовка сотрудников компаний, которые потом будут работать с внедренной системой безопасности и поддерживать ее функциональность на надлежащем уровне.

: Подход к защите информации на современном Предприятии

Источник: https://bezopasnostin.ru/informatsionnaya-bezopasnost/zashhita-informatsii-na-predpriyatii.html

Способы защиты информации | Методы и средства защиты информации

Защита информации на предприятии: методы и средства реализации задачи. Защита информации на предприятии: методы и средства реализации задачи Угрозы безопасности информации в компьютерных системах и их классификация

Данные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов.

Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами.

В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

  • препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
  • управление, или оказание воздействия на элементы защищаемой системы;
  • маскировка, или преобразование данных, обычно – криптографическими способами;
  • регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
  • принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
  • побуждение, или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы. 

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

  • разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
  • проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
  • разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
  • внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
  • составляют планы восстановления системы на случай выхода из строя по любым причинам.

Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Что такое ИБ-аутсорсинг и как он работает? Читать.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

  • резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
  • дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
  • создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
  • обеспечение возможности использовать резервные системы электропитания;
  • обеспечение безопасности от пожара или повреждения оборудования водой;
  • установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией. 
Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/zaschita-informatsii/sposoby-zaschity-informatsii/

Методы организации защиты информации | Защита информации

Защита информации на предприятии: методы и средства реализации задачи. Защита информации на предприятии: методы и средства реализации задачи Угрозы безопасности информации в компьютерных системах и их классификация

Если есть угроза — должны быть и методы защиты и противодействия.. Способы — это средства для достижения поставленных задач и порядок методов приемов использования сил по защите конфиденциальной информации.

Принцип действие человека на подсознании рассчитан на достижение положительных результатов. Опыт профессионалов в сфере защите информации достаточно ясно определил совокупность средств, сил и приемов, нацеленных на гарантирование информационной безопасности или информационной надежности.

Обеспечение информационной надежности или информационной безопасности достигается путем следующих действий направленных на:

  • Выявление угроз выражается в порядочном анализе и контроле допустимых появлений потенциальных или реальных угроз а также своевременных мерах по их предупреждению;
  • предупреждение угроз, достигается путем обеспечения информационной безопасности или информационной надежности в пользу упреждения и их возникновениюна обнаружение угроз с анализом рисков;
  • Включение мер по уничтожению угрозы или преступных действий и локализацию преступных действий;
  • обнаружение угроз, достигается путем определения конкретных преступных действий и реальных угроз;
  • ликвидацию последствий относительно угроз и преступных конкретных действий. Восстановление статус-кво (рис. 1).

Методы защиты информации:

  • препятствие — средство физического преграждения действий злоумышленнику относительно критической информации
  • управление доступом — средства защиты информации регулированием использования всех ресурсов ИС в ИТ. Такие методы должны защищать от несанкционированного доступа к информации
  • Алгоритмы шифрования — методы реализуют как при хранении так и при обработке информации. При передаче информации — это главный и единственный метод защиты
  • Регламентация — создание условий для хранение и обработки информации в информационной системе, при которых стандартны и нормы по защите реализуются в наибольшей степени
  • Принуждение — средство защиты, которое заставляет пользователей соблюдать правила работы в информационной системе
  • Побуждение — средство защиты, побуждающее пользователей информационной системы не нарушать правила, за счет этических и моральных норм
  • Аппаратные средства — устройства, которые встроенные в вычислительные механизмы или подключаются с помощью интерфейсов
  • физические средства — разные инженерные сооружения, которые защищают персонал, информацию, устройства, вещи от злоумышленников
  • Программные средства — ПО которое внедряется в информационную систему для реализации защиты
  • Организационные средства — достигаются на основе нормативных документов, которые регулируют работу сотрудников таким образом, что бы реализовать максимальную защиту информационной системы

Предупреждение противоправных действий и возможных угроз информационной безопасности может быть обеспечено различными средствами и мерами, начиная от соблюдение отношений между сотрудниками организационными методами заканчивая защиты аппаратными, физическими,программными и криптографическими методами(поточные шифры или блочное шифрование или shema_Rabina). Предупреждение угроз также возможно этапом получения информации о подготовительных действиях, готовящихся актах, планируемых хищениях и других элементах преступных действий. Для таких целей нужна служба безопасности с информаторами в разных сферах действия с разными задачами. Одни наблюдают и дают объективную оценку происходящей ситуации. Другие оценивают отношения сотрудников внутри коллектива на различных уголках предприятия. Третьи работают среди преступных формирований и конкурентов.

Рисунок 1

Для предупреждения угроз очень существенно играет деятельность информационно-аналитической службы безопасности на основе анализа особой обстановки и деятельности злоумышленников и конкурентов. Если есть доступ к сети интернет, службе безопасности нужно учитывать проблемы защиты информации в сетях. А также характеристики проводных линий связи или полосы пропускания и пропускную способность.

Защита от разглашения данных сводится к создании каталога сведений, представляющих коммерческую тайну на предприятии. Этот каталог сведений должен быть доведен до каждого работника на предприятии, с обязательством в письменном виде этого сотрудника сохранять эту тайну. Одним из важных действий служится система контроля за сбережение целостности и конфиденциальности коммерческих секретов.

Защита конфиденциальной информации от утечки работает на основе учета, выявления и контроля вероятных путей утечки в конкретных ситуациях а также осуществлению технических, организационных, организационно-технических мероприятий по их уничтожению.

Защита конфиденциальной информации от несанкционированного доступа действует на основе реализацией технических, организационных, организационно-технических процедур по противодействию НСД. А также контроля способов несанкционированного доступа и анализа.

На практике все мероприятия в определенной степени используют технические механизмы информационной безопасности, и они подразделяются на три группы(рис. 2):

  • организационные (в сфере технических средств);
  • технические.
  • организационно-технические;

Рисунок 2

Референция защитных действий

Защитная работа, а также приемы и процедуры по поддержании информационной безопасности классифицируют по характеристикам и по объектам защиты которые делятся на следующие параметры:

По ориентации — защитные методы можно классифицировать как действия, курс на защиту персонала, финансовых и материальных активов и информации как фонд.

По способам — это обнаружение (к примеру: методы обнаружения ошибок) или системы обнаружения атак, предупреждение, выявление, пресечение и восстановление.

По направлениям — это защита на основе правовых методов, организационных и инженерно-технических действий.

По охвату защитные средства могут быть нацелены на защиту периметра предприятия, отдельных помещений, здания, конкретных групп аппаратуры, технических средств и систем, отдельных элементов (домов, помещений, аппаратуры) опасных с точки зрения НСД к ним.

Причиной информации могут быть документы, люди, отходы, технические средства и тд. Носители информации могут быть акустические и электромагнитные поля, либо вещества (изделие, бумага, материал). Средой распространения служит жесткие среды или воздушное пространство.

Правонарушитель может обладать всеми нужными средствами приема электромагнитной и акустической энергии, воздушное наблюдение и возможностью анализировать материалы представления информации.

Представления информации в вещественных формах. Для исключения неправомерного овладения конфиденциальной информацией, следует обработать сигнал или источник информации средствами шифрования приглушенные или других.

С повышением темпов использования и распространения информационных сетей (seti_PDH или seti_dwdm) и ПК увеличивается роль разных факторов, вызывающих разглашение, утечку и НСД к информации. Таковыми являются:

В связи с этим, основные целb защиты информации в информационных сетях и ПК есть:

  • предупреждение утечки информации и потерь, вмешательства и перехвата на всех степенях влияния, для всех объектов территориально разделенных;
  • обеспечение прав пользователей и юридических норм в связи ДОСТУПА к информационным и остальным ресурсам, предполагающее административный смотр за информационной деятельностью, включая действия персональной ответственности за следованием режимов работы и правил пользования;

Нужно учитывать спецификацию физической среды Ethernet и token ring.

Рисунок 3

Выводы

1.Обеспечение информационной надежности или безопасности достигается организационными,техническими и организационно-техническими процедурами, любое из которых обеспечивается своеобразными методами, средствами и мерами, имеющими соответствующими параметрами.

2.Разнообразные действия и условия, способствующие незаконному или неправомерному усвоению конфиденциальными данными, вынуждает использовать не менее разнообразных способов, средств, сил и для обеспечения информационной безопасности или надежности.

3.Основными задачами охраны информации служит гарантирование конфиденциальности, целостности и достаточности информационных ресурсов. А также разработать политику безопасности и внедрить ее в систему.

4.Методы обеспечения информационной защиты должны быть нацелены на упреждающий темперамент действий, наведенных на заблаговременные пути предупреждения вероятных угроз коммерческим секретам.

Источник: http://infoprotect.net/note/metodyi_organizacii_zasccityi_informacii

Гост р 53114-2008 защита информации. обеспечение информационной…

Защита информации на предприятии: методы и средства реализации задачи. Защита информации на предприятии: методы и средства реализации задачи Угрозы безопасности информации в компьютерных системах и их классификация

ГОСТ Р 53114-2008

Группа Т00

ОКС 35.020

Дата введения 2009-10-01

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением “Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю” (ФГУ “ГНИИИ ПТЗИ ФСТЭК России”), Обществом с ограниченной ответственностью “Научно-производственная фирма “Кристалл” (ООО “НПФ “Кристалл”)

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 532-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Ноябрь 2018 г.

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ “О стандартизации в Российской Федерации”.

Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе “Национальные стандарты”, а официальный текст изменений и поправок – в ежемесячном информационном указателе “Национальные стандарты”.

В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя “Национальные стандарты”.

Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, – светлым, а синонимы – курсивом.

Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины, применяемые при проведении работ по стандартизации в области обеспечения информационной безопасности в организации.

Термины, установленные настоящим стандартом, рекомендуется использовать в нормативных документах, правовой, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

Настоящий стандарт применяется совместно с ГОСТ 34.003, ГОСТ 19781, ГОСТ Р 22.0.

02, ГОСТ Р 51897, ГОСТ Р 50922, ГОСТ Р 51898, ГОСТ Р 52069.0, ГОСТ Р 51275, ГОСТ Р ИСО 9000, ГОСТ Р ИСО 9001, ГОСТ Р ИСО 14001, ГОСТ Р ИСО/ МЭК 27001, ГОСТ Р ИСО/МЭК 13335-1, [1], [2].

Термины, приведенные в настоящем стандарте, соответствуют положениям Федерального Закона Российской Федерации от 27 декабря 2002 г. N 184-ФЗ “О техническом регулировании” [3], Федерального Закона Российской Федерации от 27 июля 2006 г.

N 149-ФЗ “Об информации, информационных технологиях и защите информации” [4], Федерального Закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных” [5], Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации от 9 сентября 2000 г. Пр-1895 [6].

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 34.003 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения

ГОСТ 19781 Обеспечение систем обработки информации программное. Термины и определения

ГОСТ Р 22.0.

02 Безопасность в чрезвычайных ситуациях. Термины и определения

ГОСТ Р ИСО 9000 Системы менеджмента качества. Основные положения и словарь

ГОСТ Р ИСО 9001 Системы менеджмента качества. Требования

ГОСТ Р ИСО 14001 Системы экологического менеджмента. Требования и руководство по применению

ГОСТ Р ИСО/МЭК 13335-1 Информационная технология.

Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р 50922 Защита информации.

Основные термины и определения

ГОСТ Р 51275 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51897 Менеджмент риска. Термины и определения

ГОСТ Р 51898 Аспекты безопасности. Правила включения в стандарты

ГОСТ Р 52069.0 Защита информации. Система стандартов.

Основные положения

Примечание – При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования – на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю “Национальные стандарты”, который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя “Национальные стандарты” за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3.1 Общие понятия

3.1.1

безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

[ГОСТ Р 50922-2006, статья 2.4.5]

3.1.2

безопасность информационной технологии: Состояние защищенности информационной технологии, при котором обеспечивается выполнение изделием, реализующим информационную технологию, предписанных функций без нарушений безопасности обрабатываемой информации.

[Р 50.1.056-2005]

3.1.3

информационная сфера: Совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.

[Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 г. Пр-1895]

3.1.4 информационная инфраструктура: Совокупность объектов информатизации, обеспечивающая доступ потребителей к информационным ресурсам.

3.1.5

объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

[ГОСТ Р 51275-2006, пункт 3.1]

3.1.6 активы организации: Все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее распоряжении.

Примечание – К активам организации могут относиться:

– информационные активы, в том числе различные виды информации, циркулирующие в информационной системе (служебная, управляющая, аналитическая, деловая и т.д.

) на всех этапах жизненного цикла (генерация, хранение, обработка, передача, уничтожение);

– ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);

– процессы (технологические, информационные и пр.);

3.1.7

ресурс системы обработки информации: Средство системы обработки информации, которое может быть выделено процессу обработки данных на определенный интервал времени.

Примечание – Основными ресурсами являются процессоры, области основной памяти, наборы данных, периферийные устройства, программы.

[ГОСТ 19781-90, статьят 93]

3.1.8 информационный процесс: Процесс создания, сбора, обработки, накопления, хранения, поиска, распространения и использования информации.

3.1.9

3.1.10

техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС.

[ГОСТ Р 34.003-90*, статья 2.5]

_________________
* Вероятно ошибка оригинала. Следует читать ГОСТ 34.003-90. Здесь и далее. – Примечание изготовителя базы данных.

Источник: http://docs.cntd.ru/document/gost-r-53114-2008

Закон
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: