Защита информации - это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.
Информационная безопасность
Государственная информационная безопасность представляет собою состояние сохранности всех информационных ресурсов государства, а также защищенность всех законных прав общества и личности в информационной сфере.
В сегодняшнем социуме сфера информации имеет две составные части:
- информационно-техническую (созданный искусственно человеком мир технологий, техники и так далее);
- и информационно-психологическую (естественный мир живой природы, который включает и самого человека).
Модель информационной безопасности
В виде стандартной модели информационной безопасности зачастую приводят модель, состоящую из трех различных категорий:
- конфиденциальность - представляет собой состояние информации, при котором допуск к ней осуществляют лишь субъекты, которые имеют такое право;
- целостность - представляет собой избежание несанкционированных изменений информации;
- доступность - представляет собой избежание постоянного или временного сокрытия информации от юзеров, которые получили права доступа.
Можно выделить и другие, не всегда необходимые категории модели информационной безопасности:
- апеллируемость или неотказуемость — способность подтверждать имевшее место событие или действие так, чтобы эти действия или события не могли оказаться позже опровергнутыми;
- подотчетность – официальная регистрация данных;
- достоверность - представляет собой свойство соответствия предусмотренным результатам или поведению;
- аутентичность или подлинность - представляет собой свойство, которое гарантирует, что ресурс или субъект идентичен заявленным.
Составляющие информационной безопасности
Системный подход к описанию безопасности информации предлагает выделить такие составляющие безопасности информации:
- Научная, нормативно-правовая и законодательная база.
- Задачи и структура органов (подразделений), которые обеспечивают безопасность ИТ.
- Режимные и организационно-технические методы защиты информации (политика безопасности информации).
- Программные, а также технические средства защиты информации.
Задачей реализации безопасности информации какого-либо объекта считается построение СОИБ (система обеспечения безопасности данных). Для формирования и действенной эксплуатации СОИБ нужно:
- выявить требования к защите информации, специфические для этого объекта защиты;
- принять во внимание требования международного и национального Законодательства;
- использовать существующие практики (методологии, стандарты) построения подобных систем;
- определить подразделения, которые ответственны за реализацию и поддержку системы;
- распределить между всеми подразделениями области их ответственности в исполнении требований СОИБ;
- на основе управления рисками безопасности информации установить общие положения, организационные и технические требования, которые составляют политику безопасности информации объекта защиты;
- исполнить требования политики безопасности информации посредством внедрения соответствующих программно-технических способов и средств информационной защиты;
- реализовать систему управления (менеджмента) безопасности информации (СМИБ);
- применяя СМИБ, организовать постоянный контроль действенности СОИБ и при необходимости корректировку и пересмотр СОИБ и СМИБ.
Судя по последнему этапу работ, процесс реализации системы обеспечения безопасности данных беспрерывный и циклично (после каждого из пересмотров) возвращается к первому шагу, повторяя поочередно все остальные. Таким образом, СОИБ корректируется для действенного выполнения собственных задач информационной защиты, и соответствия новым требованиям регулярно обновляющейся системы информации.
Нормативные документы в сфере безопасности информации
В России к нормативно-правовым актам в сфере информационной безопасности причисляются:
1) Федеральные законодательные акты:
- Международные договоры России.
- Конституция России.
- Закон о защите информации федерального уровня (сюда включены конституционные федеральные кодексы, законы).
- Указы Президента России.
- Правительственные постановления Российской Федерации.
- Правовые нормативные акты федеральных ведомств и министерств.
- Правовые нормативные акты субъектов России, а также государственных органов местного самоуправления и так далее.
2) К нормативно-методическим документам возможно причислить:
- Методические документы правительственных органов России:
а) Доктрина безопасности информации России.
б) Руководящие документы государственной технической комиссии (ФСТЭК) Российской Федерации.
в) Приказы Федеральной службы безопасности.
- Стандарты безопасности информации, из которых можно выделить:
а) Международные стандарты.
б) Национальные (государственные) стандарты России.
в) Рекомендации по стандартизации.
г) Указания методические.
Органы (подразделения), которые обеспечивают информационную безопасность
Правительственные органы РФ, которые контролируют деятельность в области информационной защиты:
- Комитет Госдумы по безопасности.
- Совет безопасности России.
- ФСТЭК (Федеральная служба по экспортному и техническому контролю) РФ.
- ФСБ (Федеральная служба безопасности) России.
- ФСО (Федеральная служба охраны) РФ.
- СВР (Служба внешней разведки) России.
- Минобороны (Министерство обороны) РФ.
- МВД (Министерство внутренних дел) России.
- Роскомнадзор (Федеральная служба по контролю в сфере массовых коммуникаций, информационных технологий, а также связи).
Организационная защита различных объектов информатизации
Организация защиты информации представляет собою регламентацию взаимоотношений исполнителей, а также производственной деятельности на нормативно-правовой основе, которая исключает или существенно затрудняет неправомерное овладение какой-либо конфиденциальной информацией и выражение внешних, внутренних угроз. Организационная информационная защита обеспечивает:
- организацию режима, охраны, работу с документами, с кадрами;
- применение технических средств информационной безопасности, а также информационно-аналитическую деятельность по обнаружению внешних, внутренних угроз деятельности предпринимателя.
К основным мероприятиям защиты информации можно причислить:
- Организацию охраны, режима. Их цель — исключить возможность тайного проникновения в помещения и на территорию каких-либо сторонних лиц;
- Организацию работы с сотрудниками, которая предполагает подбор и расстановку всего персонала, сюда включено ознакомление с работниками, их изучение, обучение всем правилам работы с данными конфиденциального характера, ознакомление с мерами их ответственности за нарушение каких-либо правил информационной защиты и так далее.
- Организацию работы с документированной информацией и документами, включая организацию использования и разработки документов и носителей информации конфиденциального характера, их учет, возврат, исполнение, хранение, а также уничтожение.
- Организацию применения технических средств для сбора, обработки, хранения и накопления информации конфиденциального характера.
- Организацию работы по исследованию внешних и внутренних угроз информации конфиденциального характера и выработке мер по формированию ее защиты.
- Организацию работы по осуществлению систематического контроля за работой сотрудников с конфиденциальной информацией, порядком хранения, учета и устранения документов, а также технических носителей.
Во всякой конкретной ситуации организационные мероприятия принимают специфическое для каждой организации содержание и форму, и такие меры направлены на обеспечение информационной безопасности в конкретных условиях.