1. Главная
  2. Блог
  3. Информационная безопасность

Информационная безопасность

15 декабря 2021
1990

Содержание:

  1. Для чего нужна защита персональных данных
  2. Что такое информационная безопасность: основные понятия
  3. Классификация угроз ИБ
  4. Объекты информационной безопасности
  5. Нетехнические способы защиты информации
  6. Средства и методы защиты информации

Информационные технологии развиваются и активно внедряется во все сферы жизни. Информация — это ценный и важный актив компании, поэтому ее нужно надежно защищать. Информационная безопасность — приоритетная задача большинства предприятий.

Для чего нужна защита персональных данных

Работа многих компаний зависит от конфиденциальной информации, поэтому важно хранить ее втайне. Если фирма не защищает персональные данные (ПД), она рискует получить из-за их утечки материальный ущерб и испортить себе репутацию. Это критично для крупных и особенно международных организаций.

В статье 19 ФЗ «О персональных данных» закреплено, что ПД должны защищать организации, которые обрабатывают эти сведения. Оператор может поручить обработку и защиту персональной информации другим лицам на договорной основе, если на это согласен субъект ПД.

Безопасность персональных данных и корпоративной информации также регулируют отраслевые стандарты, законы РФ и международные нормативно-правовые акты. Перечислим их:

  • 149-ФЗ «Об информации, информационных технологиях и о защите информации».

  • 152-ФЗ «О персональных данных». Касается любой компании, которая хранит и обрабатывает информацию о сотрудниках и клиентах.

  • 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Информация из него актуальна для компаний, работающих в следующих сферах: здравоохранение, транспорт, предоставление связи, банковские и финансовые услуги.

  • 98-ФЗ «Требования по защите коммерческой тайны».

  • 224-ФЗ «Требования по защите инсайдерской информации».

  • 161-ФЗ «Требования по защите данных в Национальной платежной системе».

  • Приказ ФСТЭК России № 17, № 21, Постановление Правительства РФ № 1119, Методические рекомендации ФСТЭК России.

  • Приказ ФСТЭК России № 31, Требования по защите информации в АСУ ТП.

  • Требования к безопасности данных индустрии платежных карт — PCI DSS.

  • СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

  • Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ.

  • Закон РФ «О государственной тайне» от 21.07.1993 № 5485-1.

  • Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ.

  • Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ.

  • РС БР ИББС-2.9-2016 «Предотвращение утечек информации».

  • Комплексный международный стандарт по информационной безопасности ISO 27001.

  • Международные нормативно-правовые акты и стандарты (Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act of 2002 и т.д.).

В российском законодательстве предусмотрено наказание за утечку персональных данных. Так, в статье 13.11. КоАП указано, что за первое нарушение оператор ПД получит штраф 60-100 тыс. рублей, за повторные утечки — до 500 тыс. рублей.

Информационная безопасность

Что такое информационная безопасность: основные понятия

Информационная безопасность (ИБ) — это защищенность информационной системы от вмешательства и нанесения ущерба со стороны третьих лиц. Это понятие также включает в себя управление рисками относительно разглашения информации и влияния на аппаратные и программные модули защиты.

Безопасность корпоративной информации — это совокупность действий по защите информационной среды компании. При этом уполномоченные лица полноценно могут использовать и динамично развивать информацию.

Чтобы успешно интегрировать системы ИБ на предприятии, нужно следовать трем основным принципам:

  • Конфиденциальность. Необходимо контролировать, чтобы сохранялся достаточный уровень инфобезопасности на разных этапах деловых операций. Это защитит данные и активы компании от нежелательного и неправомерного раскрытия. Информация любого формата должна храниться и передаваться через рядовые организации строго конфиденциально.

  • Целостность. Этот принцип подразумевает внутреннюю и внешнюю последовательность корпоративных данных и гарантирует, что информация не исказится.

  • Доступность. Сетевая среда должна работать предсказуемо, чтобы уполномоченные лица своевременно получали нужные данные. Если в системе возникнут сбои, восстановление не должно отрицательно повлиять на работу.

Классификация угроз ИБ

Угрозы информационной безопасности подразделяются на три вида:

  • Угрозы конфиденциальности. Неправомерный доступ к информации имеет место, когда сведения, которые хранятся в вычислительной системе или передаются в другие системы, становятся известны третьим лицам. При возникновении угрозы нарушения конфиденциальности данных используется термин «утечка».

  • Угрозы целостности (неправомерное изменение данных). Этот тип угроз подразумевает неправомерное изменение данных. К нарушениям целостности информации относятся любые незаконные исправления данных, которые хранятся в ИС. Угроза целостности может возникнуть по разным причинам — от преднамеренных действий сотрудников компании до поломки оборудования.

  • Угрозы доступности. Суть этого типа нарушений, заключается в преднамеренном ограничении или закрытии доступа к сведениям или услугам информационной системы. Этот тип угроз способен нарушить своевременное выполнение бизнес-задач.

Система информационной безопасности должна создать защищенные пути передачи данных, обеспечить безопасность серверного оборудования, носителей информации и рабочих мест.

Объекты информационной безопасности

Объекты ИБ — это любые информационные ресурсы, которые нужно защитить от неправомерного доступа. К ним относятся официальные сайты СМИ, локальные сети компаний, порталы аналитических и системных организаций, которые работают с информацией, включая личные данные пользователей. Объектами ИБ также считаются шифраторы, юридическая помощь пользователям, особое ПО, защита интеллектуальной собственности и закрытой информации, глобальные системы, которые создают, публикуют и распространяют данные в интернете.

Способы защиты информации

Нетехнические способы защиты информации

Нетехнические способы защиты информации (СЗИ) включают:

  • Правовые методы. Государство устанавливает связанные с информацией законы, которые должны соблюдать граждане. В РФ это Федеральный закон «О персональных данных», ст. 272 Уголовного кодекса. Эти законы не защищают информацию от несанкционированного доступа, но устанавливают наказание за информационное преступление.

  • Организационные методы. Этот вид защиты используют организации, которые хранят информацию. Компания подбирает надежных сотрудников, разрабатывает внутренний регламент и политику информационной безопасности, составляет договор о неразглашении данных и обязует работников подписать его. Также фирма дает разные уровни доступа сотрудникам разного уровня, чтобы определенную информацию знало ограниченное количество людей. Организационные методы напоминают правовые, но защитные меры принимаются в рамках конкретной компании.

Правовые и организационные методы не защищают информацию на 100%. Она может повредиться из-за сбоев в системе или быть похищена злоумышленниками. Для максимальной безопасности данных следует также использовать технические средства, которые делятся на физические, программные, аппаратные и криптографические.

Физические СЗИ

Защита информационных систем базируется на физических средствах: дверях, решетках, сигнализации, видеонаблюдении и замках. Благодаря им нарушители не пройдут в серверную и не украдут жесткие диски с конфиденциальными сведениями.

Физические средства защищают носители информации от кражи и повреждения, но не от взлома через сеть.

Компьютерные СЗИ

Компьютерные СЗИ — это особые программные и программно-аппаратные средства для информационной безопасности на производстве.

Требования к защите информации определяет законодательство. Большинство СЗИ должны получить сертификат Федеральной службы по техническому и экспортному контролю России. Для средств криптозащиты обязательны сертификаты ФСБ России.

Право устанавливать компьютерные средства защиты информации имеют только лицензированные организации. Компания «Комрунет» сотрудничает с ведущими производителями СЗИ, имеет лицензии и большой опыт работы в сфере инфобезопасности.

Средства и методы защиты информации

Программные СЗИ

Защита информации ассоциируется с паролями и антивирусными программами, которые относятся к программным СЗИ. Простое или комплексное ПО устанавливается на персональные компьютеры или серверы.

Программные СЗИ

Программными средствами защиты служат:

  • Антивирусы. Они распознают, блокируют и устраняют вредоносные программы, которые крадут или повреждают данные.

  • Средства разграничения доступа, менеджеры аккаунтов и паролей. Защищают информацию от постороннего доступа.

  • Инструменты виртуализации. С их помощью создается виртуальное пространство, в котором ненадежные приложения работают без риска для основных серверов.

  • Файерволы или брандмауэры. Программные межсетевые экраны мониторят трафик и сообщают, когда компьютер получает из сети подозрительные сигналы.

  • DLP-системы. Не допускают утечки информации: мешают копировать секретную базу данных на съемный носитель и т.д.

  • SIEM-системы. Фиксируют слишком активные запросы к базе данных и другие подозрительные действия.

Аппаратные СЗИ

Аппаратные средства — это нечто среднее между физическими и программными СЗИ. Такие устройства физически защищают данные — создают шумы, не пропускают посторонние сигналы или отслеживают доступ в сеть. Аппаратные средства интегрированы в систему. К ним относятся:

  • Аппаратные межсетевые экраны. Устанавливаются между сегментами сети (например, в месте подключения локальных сетей к интернету) и обеспечивают межсетевое экранирование. Соединения серверов с внешними сетями проходят через эти экраны и фильтруются — система блокирует соединения от неизвестных источников и т.д.

  • Генераторы шума. Устройства создают информационный шум, маскируют беспроводные каналы связи и шифруют данные.

  • Аппаратные регистры паролей. Физические устройства хранят и передают пароли. К примеру, специальная флешка вставляется в компьютер и открывает доступ к информации. Даже если взломщик подберет пароль, без этой флешки он не получит секретные данные.

  • Аппаратные модули доверенной загрузки. Не дают загрузить на компьютер, например, стороннюю ОС, которая открывает доступ к файлам на жестком диске.

Программные и аппаратные средства выполняют похожие задачи, но последние производительнее и надежнее, их эргономические свойства выше. Менее уязвимые аппаратные СЗИ сложнее взломать.

Чтобы сохранить коммерческую тайну, нужна комплексная защита — сочетание технологических, административных и физических способов. Выстройте многоуровневую защиту информации и дополняйте программные средства аппаратными, даже если они дублируют друг друга. Используйте только сертифицированные СЗИ, чью надежность подтверждают государственные органы контроля.

Криптографические методы защиты информации

Криптографические методы — это группа инженерно-технических СЗИ, часть программной или аппаратной защиты (хранилище ключей шифрования и т.д.).

Функции криптозащиты:

  • Шифрование информации. При взломе преступник получит зашифрованную информацию, которую можно расшифровать только с помощью ключа.

  • Подтверждение подлинности. Компьютерная система распознает достоверность передаваемых данных и личность адресанта через механизмы аутентификации. Если кто-то изменит или подделает файл, это сразу будет понятно.

Обычно информация не шифруется постоянно и не хранится зашифрованной, иначе с ней невозможно работать без дешифровки и зашифровки. Обычно криптографические средства применяются при передаче данных, чтобы защитить каналы связи и создать электронные подписи. Если злоумышленник перехватит сообщение, которое передается через защищенный канал, он не расшифрует информацию без специального ключа. Электронная подпись нужна для проверки данных на подлинность, ее применяют в документообороте с финансовыми компаниями и госорганами. Использование электронной подписи практически исключает подделку сообщений.

Чтобы успешно вести бизнес и делопроизводство, важно надежно защищать информацию. Безопасность данных особенно актуальна в бизнес-среде, где широко распространены информационные технологии. В эпоху цифровой экономики без них невозможно развивать компанию.

Информации угрожают хакерские атаки, перехват сообщений по сети, вирусные программы и другие проблемы. Потенциальные угрозы набирают темпы и становятся изощреннее, поэтому компании вынуждены использовать системы информационной безопасности.

Выбор СЗИ зависит от сферы деятельности и размера организации, технических параметров, квалификации работников в области информационной безопасности и других факторов.

Если у вас возникли вопросы о подходящих средствах информационной защиты и способах их внедрения, обратитесь к специалистам нашей компании.

Интересное
Технология преобразования сетевых адресов (NAT)
22 июня 2023
Информационная безопасность предприятия
7 июля 2022
Astra Linux
15 марта 2022
Позвоните нам!
Ваш заказ готов к оформлению
Личный кабинет
Вам будет доступна история заказов, управление рассылками, свои цены и скидки для постоянных клиентов и прочее.
Ваш логин
Ваш пароль
Забыли пароль?
Создать личный кабинет
+7 (499) 938-43-96
Работаем для вас пн-пт с 9:00 до 18:00
Заказать звонок
г. Москва, ул. Барклая, д. 13, стр. 1
Интернет-магазин Комрунет
г. Москва, ул. Барклая, д.13, стр.1
+74951059152sale@komrunet.ru