Информационная безопасность и её роль на предприятии

Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.

Контроль  состояния защиты информации - проверка соответствия организации и эффективности  защиты информации установленным требованиям  и/или нормам в области защиты информации.

Средство  защиты информации - техническое, программное  средство, вещество и/или материал, предназначенные или используемые для защиты информации.

Средство  контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.

Контроль  организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль  эффективности защиты информации - проверка соответствия эффективности  мероприятий по защите информации установленным  требованиям или нормам эффективности  защиты информации.

Организационный контроль эффективности защиты информации- проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

Технический контроль эффективности зашиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.

ГОСТ Р 50922-96 Приложение А (справочное) Термины и  определения, необходимые для понимания  текста стандарта 

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Доступ к  информации - получение субъектом  возможности ознакомления с информацией, в том числе при помощи технических  средств.

Субъект доступа  к информации - субъект доступа: участник правоотношений в информационных процессах.

Примечание: Информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения  информации.

Носитель  информации - физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.

Владелец  информации - субъект, осуществляющий владение и пользование информацией  и реализующий полномочия распоряжения в пределах прав, установленных законом  и/или собственником информации.

Пользователь [потребитель] информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.

Право доступа  к информации - право доступа: совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.

Правило доступа  к информации - правило доступа: совокупность правил, регламентирующих порядок и  условия доступа субъекта к информации и ее носителям.

Орган защиты информации - административный орган, осуществляющий организацию защиты информации.

Способы защиты информации

3.1. Общие  положения 

3.2. Характеристика  защитных действий 

Способы - это  порядок и приемы использования  сил и средств для достижения поставленной цели по защите конфиденциальной информации.

1. Подальше  положишь - поближе возьмешь.

2. Береженого  Бог бережет. 

3. На Бога  надейся, а сам не плошай.

4. Сначала  подумай, потом говори.

5. Не зная  броду, не суйся в воду.

6. Семь раз отмерь, один раз отрежь.

7. Дело мастера  боится.

8. Негоже, когда  сапоги тачает пирожник, а пироги  печет сапожник.

9. Отыщи всему  начало, и ты многое поймешь  (К. Прутков).

Любое действие человека, ориентированное на достижение каких-либо результатов, реализуется определенными способами. Естественно, что имеющийся опыт по защите информации достаточно четко определил совокупность приемов, сил и средств, ориентированных на обеспечение информационной безопасности. С учетом этого можно так определить понятие способов защиты информации: способы защиты информации - это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам.

Естественно предположить, что каждому виду угроз присущи свои специфические способы, силы и средства.

3.1. Общие положения 

Обеспечение информационной безопасности достигается  системой мер, направленных:

на предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

на выявление  угроз. Выявление угроз выражается в систематическом анализе и  контроле возможности появления  реальных или потенциальных угроз  и своевременных мерах по их предупреждению;

на обнаружение  угроз. Обнаружение имеет целью  определение реальных угроз и  конкретных преступных действий;

на локализацию  преступных действий и принятие мер  по ликвидации угрозы или конкретных преступных действий;

ацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение  возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.

Предупреждение  угроз возможно и путем получения (если хотите - и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах  преступных деяний. Для этих целей  необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.

В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

Выявление имеет  целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и "внедренные".

Обнаружение угроз - это действия по определению  конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести  обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.

Пресечение  или локализация угроз - это действия, направленные на устранение действующей  угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.

Ликвидация  последствий имеет целью восстановление состояния, предшествовавшего наступлению  угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.

Все эти способы  имеют целью защитить информационные ресурсы от противоправных посягательств  и обеспечить:

предотвращение разглашения и утечки конфиденциальной информации;

воспрещение несанкционированного доступа к  источникам конфиденциальной информации; сохранение целостности, полноты и  доступности информации;

соблюдение  конфиденциальности информации;

обеспечение авторских прав.

Защита от разглашения сводится в общем  плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного  к ним, с обязательством этого  сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.

Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.

Защита от несанкционированного доступа к  конфиденциальной "формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД.

На практике в определенной степени все мероприятия  по использованию технических средств защиты информации подразделяются на три группы:

организационные (в части технических средств);

организационно-технические;

технические.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации  доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

В общем плане  организационные мероприятия предусматривают  проведение следующих действий:

определение границ охраняемой зоны (территории);

определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;

определение "опасных", с точки зрения возможности  образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;

выявление возможных  путей проникновения к источникам конфиденциальной информации со стороны  злоумышленников;

реализация  мер по обнаружению, выявлению и  контролю за обеспечением защиты информации всеми доступными средствами.

Организационные мероприятия выражаются в тех  или иных ограничительных мерах. Можно выделить такие ограничительные  меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.

Пространственные  ограничения выражаются в выборе направлений излучения тех или  иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.

Временные ограничения  проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов  связи, шифровании и других мерах  защиты.

Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.