Политика обеспечения технической защиты информации
Политики информационной безопасности
Грамотная конфигурация и основные требования,
политики DLP-системы
- СёрчИнформ КИБ
- Как работает система?
- Преимущества продукта
- Попробовать бесплатно
П олитикой информационной безопасности (ИБ) называется комплекс мер, правил и принципов, которыми в своей повседневной практике руководствуются сотрудники предприятия/организации в целях защиты информационных ресурсов.
За время, прошедшее с возникновения самого понятия ИБ, наработано немало подобных политик – в каждой компании руководство само решает, каким образом и какую именно информацию защищать (помимо тех случаев, на которые распространяются официальные требования законодательства Российской Федерации). Политики обычно формализуются: разрабатывается соответствующий регламент. Такой документ сотрудники предприятия обязаны соблюдать. Хотя не все из этих документов в итоге становятся эффективными. Ниже мы рассмотрим все составляющие политики информационной безопасности и определим основные аспекты, которые необходимы для ее эффективности.
Для чего нужна формализация защиты информации
Положения о политике информационной безопасности чаще всего в виде отдельного документа появляются во исполнение требования регулятора – организации, регламентирующей правила работы юридических лиц в той или иной отрасли. Если положения об информационной безопасности нет, то не исключены определенные репрессии в отношении нарушителя, которые могут вылиться даже в приостановку деятельности последнего.
Также политика безопасности является обязательной составляющей определенных стандартов (местных или международных). Необходимо соответствие конкретным требованиям, которые обычно выдвигают внешние аудиторы, изучающие деятельность организации. Отсутствие политики безопасности порождает отрицательные отклики, а подобные оценки негативно влияют на такие показатели, как рейтинг, уровень надежности, инвестиционная привлекательность и т. д.
Материалы об информационной безопасности появляются на свет, когда высший менеджмент сам приходит к пониманию необходимости структурированного подхода к теме защиты информации. Такие решения могут быть воплощены в жизнь после внедрения технических средств, когда появляется осознание того, что данными средствами надо управлять, они должны быть под постоянным контролем. Зачастую ИБ включает в себя и проблематику взаимоотношений с персоналом (сотрудник может рассматриваться не только как лицо, подлежащее защите, но и как объект, от которого информация должна быть защищена), иные аспекты и факторы, выходящие за рамки исключительно защиты компьютерной сети и предотвращения несанкционированного доступа к ней.
Наличие соответствующих положений говорит о состоятельности организации в вопросах информационной безопасности, ее зрелости. Четкая формулировка правил обеспечения информационной безопасности является свидетельством того, что в данном процессе достигнут существенный прогресс.
–
Несостоявшиеся политики
Одно лишь наличие документа с названием «Положение об информационной безопасности» не является залогом информационной безопасности как таковой. Если он рассматривается лишь в контексте соответствия каким-то требованиям, но без применения на практике эффект будет нулевым.
Неэффективная политика безопасности, как показывает практика, встречается двух видов: грамотно сформулированная, но не реализуемая, и реализуемая, но внятно не сформулированная.
Первая, как правило, достаточно распространена в организациях, в которых ответственный за защиту информации просто скачивает аналогичные документы из Интернета, вносит минимальные правки и выносит общие правила на утверждение руководства. На первый взгляд, такой подход кажется прагматичным. Принципы безопасности в разных организациях, даже если направленность их деятельности разнится, зачастую похожи. Но проблемы с защитой информации могут возникнуть при переходе от общей концепции информационной безопасности к повседневной работе с такими документами, как процедуры, методики, стандарты и т. д. Так как политику безопасности изначально формулировали для другой структуры, возможны определенные сложности с адаптацией повседневных документов.
К неэффективной политике второго типа относится попытка решить задачу не принятием общих стратегических планов, а путем сиюминутных решений. Например, системный администратор, устав от того, что пользователи своими неосторожными манипуляциями нарушают работу сети, предпринимает следующие действия: берет лист бумаги и за десять минут набрасывает правила (что можно, а что нельзя, кому разрешен доступ к данным определенного свойства, а кому – нет) и озаглавливает это «Политикой». Если руководство такую «Политику» утверждает, то она впоследствии может годами служить основой деятельности структуры в сфере информационной безопасности, создавая ощутимые проблемы: например, с внедрением новых технологий не всегда поставишь и необходимое программное обеспечение. В итоге начинают допускаться исключения из правил (например, нужна какая-то программа, она дорогостоящая, и работник убеждает руководство использовать нелицензионную версию вопреки ранее установленным правилам безопасности), что сводит на нет всю защиту.
Разработка эффективной системы информационной безопасности
Для создания эффективной системы информационной безопасности должны быть разработаны:
- концепция информационной безопасности (определяет в целом политику, ее принципы и цели);
- стандарты (правила и принципы защиты информации по каждому конкретному направлению);
- процедура (описание конкретных действий для защиты информации при работе с ней: персональных данных, порядка доступа к информационным носителям, системам и ресурсам);
- инструкции (подробное описание того, что и как делать для организации информационной защиты и обеспечения имеющихся стандартов).
Все вышеприведенные документы должны быть взаимосвязаны и не противоречить друг другу.
Также для эффективной организации информационной защиты следует разработать аварийные планы. Они необходимы на случай восстановления информационных систем при возникновении форс-мажорных обстоятельств: аварий, катастроф и т. д.
Структура концепции защиты
Сразу заметим: концепция информационной защиты не тождественна стратегии. Первая статична, в то время как вторая – динамична.
Основными разделами концепции безопасности являются:
- определение ИБ;
- структура безопасности;
- описание механизма контроля над безопасностью;
- оценка риска;
- безопасность информации: принципы и стандарты;
- обязанности и ответственность каждого отдела, управления или департамента в осуществлении защиты информационных носителей и прочих данных;
- ссылки на иные нормативы о безопасности.
Помимо этого не лишним будет раздел, описывающий основные критерии эффективности в сфере защиты важной информации. Индикаторы эффективности защиты необходимы, прежде всего, топ-менеджменту. Они позволяют объективно оценить организацию безопасности, не углубляясь в технические нюансы. Ответственному за организацию безопасности также необходимо знать четкие критерии оценки эффективности ИБ, дабы понимать, каким образом руководство будет оценивать его работу.
Перечень основных требований к документации по безопасности
Политику безопасности надо формулировать с учетом двух основных аспектов:
- Целевая аудитория, на которую рассчитана вся информация по безопасности – руководители среднего звена и рядовые сотрудники не владеют специфической технической терминологией, но должны при ознакомлении с инструкциями понять и усвоить предоставляемую информацию.
- Инструкция должна быть лаконичной и при этом содержать всю необходимую информацию о проводимой политике. Объемный «фолиант» никто подробно изучать не будет, а тем более запоминать.
Из выше перечисленного вытекают и два требования к методическим материалам по безопасности:
- они должны быть составлены простым русским языком, без использования специальных технических терминов;
- текст по безопасности должен содержать цели, пути их достижения с указанием назначения меры ответственности за несоблюдение ИБ. Все! Никакой технической или иной специфической информации.
Организация и внедрение ИБ
После того, как документация по информационной безопасности готова, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо:
- ознакомить коллектив с утвержденной политикой обработки информации;
- знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения);
- тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков;
- активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ;
- составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.);
- раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно мониторить и изучать существующие угрозы ИБ.
Развертывание DLP-системы в компании также требует бумажной подготовки. Чтобы ускорить процесс внедрения системы, компании, у которых нет выделенной ИБ-службы, могут воспользоваться аутсорсингом информационной безопасности.
Лица, пытающиеся получить несанкционированный доступ к информации
В заключение мы классифицируем тех, кто может или хочет получить несанкционированный доступ к информации.
Потенциальные внешние нарушители:
- Посетители офиса.
- Ранее уволенные сотрудники (особенно те, кто ушел со скандалом и знает, как получить доступ к информации).
- Хакеры.
- Сторонние структуры, в том числе конкуренты, а также криминальные группировки.
Потенциальные внутренние нарушители:
- Пользователи компьютерной техники из числа сотрудников.
- Программисты, системные администраторы.
- Технический персонал.
Для организации надежной защиты информации от каждой из перечисленных групп требуются свои правила. Если посетитель может просто забрать с собой какой-то листок с важными данными, то человек из техперсонала – создать незарегистрированную точку входа и выхода из ЛВС. Каждый из случаев – утечка информации. В первом случае достаточно выработать правила поведения персонала в офисе, во втором – прибегнуть к техническим средствам, повышающим информационную безопасность, таким как DLP-системы и SIEM-системы, предотвращающие утечки из компьютерных сетей.
При разработке ИБ надо учитывать специфику перечисленных групп и предусмотреть действенные меры предотвращения утечки информации для каждой из них.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Политика информационной безопасности — опыт разработки и рекомендации
В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
Здесь вы сможете найти ответы на вопросы:
- для чего нужна политика информационной безопасности;
- как ее составить;
- как ее использовать.
Необходимость наличия политики ИБ
В этом разделе описана необходимость внедрения политики ИБ и сопутствующих ей документов не на красивом языке учебников и стандартов, а на примерах из личного опыта.
Понимание целей и задач подразделения информационной безопасности Требования политики — основание для внедрения защитных мер
Политика ИБ необходима для обоснования введения защитных мер в компании. Политика должна быть утверждена высшим административным органом компании (генеральный директор, совет директоров и т.п.)
Любая защитная мера есть компромисс между снижением рисков и удобством работы пользователя. Когда безопасник говорит, что процесс не должен происходить каким-либо образом по причине появления некоторых рисков, ему всегда задают резонный вопрос: «А как он должен происходить?» Безопаснику необходимо предложить модель процесса, в которой эти риски снижены в какой-то мере, удовлетворительной для бизнеса.
При этом любое применение любых защитных мер, касающихся взаимодействия пользователя с информационной системой компании всегда вызывает отрицательную реакцию пользователя. Они не хотят переучиваться, читать разработанные для них инструкции и т.п. Очень часто пользователи задают резонные вопросы:
- почему я должен работать по вашей придуманной схеме, а не тем простым способом, который я использовал всегда
- кто это все придумал
Практика показала, что пользователю плевать на риски, вы можете долго и нудно ему объяснять про хакеров, уголовный кодекс и прочее, из этого не получится ничего, кроме растраты нервных клеток.
При наличии в компании политики ИБ вы можете дать лаконичный и емкий ответ:
данная мера введена для исполнения требований политики информационной безопасности компании, которая утверждена высшим административным органом компании
Как правило после энергия большинства пользователей сходит на нет. Оставшимся же можно предложить написать служебную записку в этот самый высший административный орган компании. Здесь отсеиваются остальные. Потому что даже если записка туда уйдет, то мы всегда сможем доказать необходимость принятых мер перед руководством. Мы ведь не зря свой хлеб едим, да?
Рекомендации по разработке политики ИБ
При разработке политики следует помнить о двух моментах.
- Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
- Не нужно пытаться впихнуть невпихуемое включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.
Конечный документ должен удовлетворять следующим требованиям:
- лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)
- доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)
Каким образом этого добиться?
На самом деле все очень просто: политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), котрые уже будут описывать что-то конкретное.
Можно провести аналогию с государством: документом первого уровня является конституция, а существующие в государстве доктрины, концепции, законы и прочие нормативные акты лишь дополняют и регламентируют исполнение ее положений. Примерная схема представлена на рисунке.
Чтобы не размазывать кашу по тарелке, давайте просто посмотрим примеры политик ИБ, которые можно найти на просторах интернета.
Анализ политик ИБ существующих компаний
ОАО „Газпромбанк“ | 11 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
АО „Фонд развития предпринимательства “Даму» | 14 | Высокая | Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
АО НК «КазМунайГаз» | 3 | Низкая | Простой для понимания документ, не перегруженный техническими терминами |
ОАО «Радиотехнический институт имени академика А. Л. Минца» | 42 | Очень высокая | Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц |
* Полезным я называю количество страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников.
Внедрение и использование политики ИБ
После утверждения политики ИБ необходимо:
- ознакомить с политикой всех уже работающих сотрудников;
- ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
- проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
- принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
- разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
- не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.
По вопросам и предложениям добро пожаловать в комментарии и личку.
UPD001: после опубликования топика произошел интересный диалог с хабраюзером (публикую с согласия пользователя).
Вопрос %username%
Что касается политики, то начальству не нравится, что я хочу простыми словами. Мне говорят: «У нас тут кроме меня и тебя и еще 10 ИТ-сотрудников, которые сами все знают и понимают, есть 2 сотни ничего в этом не понимающих, половина вообще пенсионеры».
Я пошел по пути, средней краткости описаний, например, правила антивирусной защиты, а ниже пишу типа есть политика антивирусной защиты и т.д. Но не пойму если за политику пользователь расписывается, но опять ему надо читать кучу других документов, вроде сократил политику, а вроде бы и нет.
Я бы здесь пошел по пути именно анализа процессов.
Допустим, антивирусная защита. По логике долно быть так.
Какие риски несут нам вирусы? Нарушение целостности (повреждение) информации, нарушение доступности (простой серверов или ПК) информации. При правильной организации сети, пользователь не должен иметь прав локального администратора в системе, то есть он не должен иметь прав установки ПО (а следовательно, и вирусов) в систему. Таким образом, пенсионеры отваливаются, так как они тут дел не делают.
Кто может снизить риски, связанные с вирусами? Пользователи с правами админа домена. Админ домена — роль щепетильная, выдается сотрудникам ИТ-отделов и т.п. Соответственно, и устанавливать антивирусы должны они. Получается, что за деятельность антивирусной системы несут ответственность тоже они. Соответственно, и подписывать инструкцию об организации антивирусной защиты должны они. Собственно, эту ответственность необходимо прописать в инструкции. Например, безопасник рулит, админы исполняют.
Вопрос %username%
Тогда вопрос, а что в инструкцию Антивирусной ЗИ не должна включаться ответственность за создание и использование вирусов(или есть статья и можно не упоминать)? Или что они обязаны сообщить о вирусе или странном поведении ПК в Help Desk или ИТишникам?
Опять же, я бы смотрел со стороны управления рисками. Здесь попахивает, так сказать, ГОСТом 18044-2007.
В вашем случае «странное поведение» это еще необязательно вирус. Это может быть тормоз системы или гпошек и т.п. Соответственно, это не инцидент, а событие ИБ. Опять же, согласно ГОСТу, заявить о событии может любой человек, а вот понять инцидент это или нет можно только после анализа.
Таким образом, этот ваш вопрос выливается уже не в политику ИБ, а в управление инцидентами. Вот в политике у вас должно быть прописано, что в компании должна присутствовать система обработки инцидентов.
Идем дальше. Обрабатывать инциденты будут уже безопасники, админы и т.п. Опять же уходим в ответственность админов и безопасников.
То есть, как видите, административное исполнение политики возлагается, в основном, на админов и безопасников. Пользователям же остается пользовательское.
Следовательно, вам необходимо составить некий «Порядок использования СВТ в компании», где вы должны указать обязанности пользователей. Этот документ должен кореллировать с политикой ИБ и быть ее, так сказать, разъяснением для пользователя.
В данном документе можно указать, что пользователь обязан уведомлять о ненормальной активности компьютера соответствующую инстанцию. Ну и все остальное пользовательское вы можете туда добавить.
Итого, у вас появляется необходимость ознакомить юзера с двумя документами:
- политикой ИБ (чтобы он понимал, что и зачем делается, не рыпался, не ругался при внедрении новых систем контроля и т.п.)
- этим «Порядком использования СВТ в компании» (чтобы он понимал, что конкретно делать в конкретных ситуациях)
Соответственно, при внедрении новой системы, вы просто добавляете что-то в «Порядок» и уведомляете сотрудников об этом посредством рассылки порядка по электропочте (либо через СЭД, если таковая имеется).
Технологии защиты информации в компании
Больше материалов по теме «Ведение бизнеса» вы можете получить в системе КонсультантПлюс .
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
- Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
- Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
- Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
- Нежелание обучаться работе с информационными системами.
- Отсутствие у сотрудника необходимой подготовки.
- Отсутствие техподдержки, что приводит к сложностям с работой.
- Умышленное или неумышленное нарушение правил работы.
- Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
- Ошибки при переконфигурировании.
- Отказ ПО.
- Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
- Ввод неправильных данных.
- Изменение сведений.
- Подделка заголовка.
- Подделка всего текста письма.
- Отказ от исполненных действий.
- Дублирование информации.
- Внесение дополнительных сведений.
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
- Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
- Использование одних и тех же паролей в различных системах.
- Размещение информации в среде, которая не обеспечивает конфиденциальность.
- Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
- Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
- Хранение сведений на резервных носителях.
- Распространение информации по множеству источников, что приводит к перехвату сведений.
- Оставление ноутбуков без присмотра.
- Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
- Защита помещения компании от действий злоумышленников.
- Защита хранилищ информации от действий заинтересованных лиц.
- Защита от удаленного видеонаблюдения, прослушивания.
- Предотвращение перехвата сведений.
- Создание доступа сотрудников в помещение компании.
- Контроль над деятельностью сотрудников.
- Контроль над перемещением работников на территории компании.
- Защита от пожаров.
- Превентивные меры против последствий стихийных бедствий, катаклизмов.
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
- Защита конфиденциальности сведений, которые передаются по открытым каналам.
- Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
- Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
- Сохранение целостности данных при их передаче и хранении.
- Подтверждение отправки сообщения с информацией.
- Защита ПО от несанкционированного применения и копирования.
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
- Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
- Инструменты для шифрования данных.
- Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
- Инструменты для уничтожения сведений на носителях.
- Сигнализация, срабатывающая при попытках несанкционированных манипуляций.
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
Конфиденциальная информация: как защитить корпоративные данные
С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?
Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.
Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.
Источники конфиденциальной информации
- Люди (сотрудники, клиенты, посетители, обслуживающий персонал).
Документы материальные и представленные в электронном виде.
Технические средства носителей информации и их обработки.
Производственные и промышленные отходы и т.д.
Угрозы конфиденциальной информации
- Утечка информации.
Отсутствие доступа к информации.
Каналы утечки конфиденциальной информации (через организацию деятельности)
- Деятельность с контрагентами на основе гражданско-правовых договоров.
Запросы из государственных органов.
Проведение переговоров с потенциальными контрагентами.
Посещения территории предприятия.
Реклама, выставки, публикации в печати, интервью для прессы.
Каналы утечки конфиденциальной информации (через технические средства)
По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.
- Акустический канал утечки информации.
Доступ к компьютерной сети.
Побочные электромагнитные излучения и наводки.
Каналы утечки конфиденциальной информации (через человеческий фактор)
- Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).
Через уволившихся сотрудников.
7 важных мер по защите информации
Есть семь основных направлений работы по защите корпоративных данных от утечек:
- Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
- Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
- Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
- Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
- Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
- Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
- Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).
Подготовительные мероприятия: что нужно сделать для настройки системы защиты
- Определить, какая информация подлежит или нуждается в защите.
Оптимизировать защищаемые информационные потоки.
Определить формы представляемой информации.
Установить виды угроз защищаемой информации и варианты их реализации.
Установить, кому может быть интересна защищаемая информация.
Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?
Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.
Определить сроки актуальности защищаемой информации.
На что обратить внимание
- Использование гаджетов на территории предприятия.
Удаленный доступ к информации.
Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.
Настройка программного оборудования (особенно после обновления).
Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.
Разграничение доступа к информации.
Дробление информации на части.
5 принципов информационной безопасности
«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.
«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.
«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.
«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.
«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.
Запомнить
- Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
- Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
- Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
- Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.
Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:
- Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
- Владельцам бизнеса;
- Начальникам структурных подразделений.
Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов
ФСТЭК
ФСТЭК России является федеральным органом исполнительной власти России, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
- обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;
- противодействия иностранным техническим разведкам на территории Российской Федерации;
- обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации сограниченным доступом, предотвращения её утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях её добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
- защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
- осуществления экспортного контроля.
ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.
ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну.
ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.
ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы. ФСТЭК России и её территориальные органы входят в состав государственных органов обеспечения безопасности. Деятельность ФСТЭК России обеспечивают Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России (головная научная организация по проблемам защиты информации), а также другие подведомственные ФСТЭК России организации. ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации.
ФСТЭК России подведомственна Минобороны России.
- разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации;
- разрабатывает и вносит в установленном порядке Президенту РФ и в Правительство РФ проекты законодательных и иных нормативных правовых актов по вопросам своей деятельности;
- издаёт нормативные правовые акты по вопросам своей деятельности;
- разрабатывает и утверждает в пределах своей компетенции методические документы, организует их издание за счёт средств, выделяемых из федерального бюджета ФСТЭК России на эти цели;
- организует и финансирует работы по изучению излучений различной физической природы, возникающих при использовании неинформационных излучающих комплексов, систем и устройств;
- осуществляет межотраслевую координацию деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;
- осуществляет в пределах своей компетенции контроль за состоянием работ по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации;
- осуществляет в пределах своей компетенции межведомственный контроль за обеспечением защиты государственной тайны, контроль за соблюдением лицензионных требований и условий, а также рассмотрение дел об административных правонарушениях;
- вносит в установленном порядке представления о применении мер ответственности за нарушения законодательства Российской Федерации по вопросам своей деятельности;
- выдаёт предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в случае выявления в ходе осуществления контроля нарушений норм и требований, касающихся противодействия техническим разведкам и технической защиты информации;
- организует радиоконтроль за соблюдением установленного порядка передачи служебной информации должностными лицами организаций, выполняющих работы, связанные со сведениями, составляющими государственную и (или) служебную тайну, при использовании открытых каналов радио-, радиорелейных, тропосферных, спутниковых и других линий и сетей радиосвязи, доступных для радиоразведки, подготавливает предложения, направленные на предотвращение утечки информации по указанным каналам;
- организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и (или) технической защиты информации), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации;
- организует в соответствии с законодательством Российской Федерации проведение работ по оценке соответствия (включая работы по сертификации) средств противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, а также объектов информатизации и ключевых систем информационной инфраструктуры;
- участвует совместно с ФСБ России в проведении специальных экспертиз по допуску организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, а также принимает участие в проведении государственной аттестации руководителей организаций, ответственных за защиту указанных сведений;
- организует разработку программ стандартизации, технических регламентов и национальных стандартов в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, обеспечения безопасности применяемых информационных технологий, а также в области противодействия техническим разведкам и технической защиты информации;
- осуществляет выдачу заключений о возможностях размещения и использования на сухопутной территории Российской Федерации иностранных технических средств наблюдения и контроля, поставляемых иностранной стороной в ходе реализации международных научных и научно-технических программ и проектов, организует и осуществляет контроль за соблюдением организациями-заявителями установленных дополнительных условий и требований, организует проведение необходимых экспертиз;
- обеспечивает проведение экспортного контроля в соответствии с законодательством Российской Федерации и приказами Министра обороны Российской Федерации;
- разрабатывает с участием заинтересованных федеральных органов исполнительной власти и организаций для представления в установленном порядке проекты списков (перечней) товаров (работ, услуг), информации, результатов интеллектуальной деятельности, подлежащих экспортному контролю;
- организует и проводит в установленном порядке государственную экспертизу внешнеэкономических сделок в отношении товаров (работ, услуг), информации, результатов интеллектуальной деятельности, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники;
- участвует в реализации государственной политики в области нераспространения оружия массового поражения и иных наиболее опасных видов оружия, а также в области контроля за экспортом товаров (работ, услуг), информации, результатов интеллектуальной деятельности, которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники;
- организует в соответствии с законодательством Российской Федерации государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля, и выдает им свидетельства о государственной аккредитации;
- участвует в пределах своей компетенции в подготовке предложений о введении ограничений и (или) запретов на экспорт и (или) импорт товаров (работ, услуг), информации, результатов интеллектуальной деятельности, исходя из национальных интересов и международных обязательств Российской Федерации;
- осуществляет в пределах своей компетенции нетарифное регулирование внешнеторговой деятельности, в том числе выдает лицензии на осуществление операций по экспорту и (или) импорту товаров (работ, услуг), информации, результатов интеллектуальной деятельности в случаях, предусмотренных законодательством Российской Федерации;
- определяет порядок и форму учёта внешнеэкономических сделок в целях осуществления экспортного контроля;
- осуществляет иные функции в установленной сфере деятельности в соответствии с федеральными конституционными законами, федеральными законами, актами Президента Российской Федерации.
4. Политика обеспечения информационной безопасности
В первую очередь необходимо ответить на следующие вопросы, возникающие при построении системы защиты корпоративной сети организации:
1. С чего начать построение системы защиты?
2. Как определить цели и задачи организационных и технических мер защиты информации?
3. Как выбрать (либо спроектировать) средство добавочной защиты, наилучшим образом отвечающее потребностям организации?
Под политикой информационной безопасности понимается совокупность распорядительных документов, регламентирующих все аспекты обработки информации на предприятии.
1. Перечень и классификация обрабатываемой информации
Прежде всего, необходимо определиться с тем, какая информация обрабатывается в организации и как она может быть классифицирована (секретная, информация конфиденциального характера, персональные данные, служебная тайна, ограниченного доступа, коммерческая тайна и др.). Не определив, что защищать, невозможно в принципе решать вопрос о том, как защищать.
При классификации информации необходимо учитывать формализованные признаки ее отнесения к какой-либо категории, например, к секретной или конфиденциальной. При выявлении соответствующих признаков обрабатываемой информации автоматически задаются формализованные требования к ее защите. Например, для обработки секретных данных требования к защите информации в автоматизированной системе задаются классом защищенности не ниже 1В, а для обработки конфиденциальных данных — не ниже 1Г.
2. Концепция обеспечения информационной безопасности техническими мерами защиты.
Концепция обеспечения информационной безопасности задает основные принципы обработки классифицированной информации и обеспечением ее технической защиты. В общем случае эта концепция должна включать:
2.1. Порядок обработки защищаемой информации — определяется, какая информация обрабатывается вручную, какая с использованием средств вычислительной техники (СВТ), в автоматизированном режиме или нет, какая информация предназначена для внутреннего использования, какая предполагает обмен вне организации и т.д.
2.2. Технический признак СВТ организации, применяемых для обработки информации, требующей защиты. Сюда относятся архитектурные принципы построения корпоративной сети, используемые информационные технологии, ОС, приложения и т.д.
2.3. Признак предполагаемого использования СВТ организации для обработки защищаемой информации, т.е. где хранится, где и как обрабатывается, каким образом вводится и выводится, как передается по сети и т.д. Данный признак позволяет выявить объекты корпоративной сети (компьютеры, информационные потоки и т.д.), требующие защиты. Результатом этого будут сформулированные требования к распределению ресурсов защищаемых объектов (компьютеров) между субъектами доступа, разграничительная политика доступа к ресурсам.
2.4. Признак распределения всей совокупности задач управления функционированием корпоративной сети (в том числе, защищаемыми объектами), каким-либо образом влияющих на безопасность защищаемой информации:
• задачи защиты информации;
• задачи системного и иного администрирования;
• задачи инсталляции ПО;
• задачи обработки информации и т.д.
Должно быть задано распределение задач между всеми субъектами доступа к защищаемой информации: сотрудники службы защиты информации, администраторы (безопасности, системный, приложений, в частности СУБД, сети и т.д.), пользователи (возможно с предоставлением каких-либо привилегий отдельным группам пользователей), сотрудники службы эксплуатации, начальники подразделений и т.д.
В рамках решения данной совокупности задач определяется потенциальный злоумышленник, то есть, от кого же следует защищать информацию. Данные субъекты должны исключаться из схемы управления функционированием корпоративной сети, прежде всего, из схемы управления информационной безопасностью.
Результатом должна быть разработка концепции администрирования информационной безопасности корпоративной сети организации. При этом должны быть определены субъекты (сотрудники службы защиты информации, администратор безопасности и т.д.) и объекты (рабочие станции, серверы, информационные технологии и т.д.) администрирования. Для объектов, где обрабатывается защищаемая информация, должны учитываться соответствующие формализованные требования, в соответствии с документами ФСТЭК (ГТК) и ФСБ (ФАПСИ).
Внедрение централизованной схемы администрирования, которая состоит в следующем: сотрудники службы защиты информации по представлению начальников подразделений формируют разграничительную политику доступа к ресурсам, а администратор безопасности осуществляет непосредственное управление системой защиты, т.е. реализует разграничительную политику доступа техническими средствами защиты информации и контролирует ее выполнение пользователями.
Остальные субъекты исключаются из схемы администрирования. Им либо вообще не дается доступ к настройкам технических средств защиты в принципе, либо он возможен только при непосредственном контроле со стороны администратора безопасности (данные задачи должны решаться техническими средствами защиты).
2.5. Требования к технологии защиты информации:
• к механизмам защиты в части реализации заданной разграничительной политики доступа к ресурсам;
к механизмам защиты в части противодействия НСД определенных потенциальных злоумышленников. Данные требования должны выдвигаться с учетом существующей статистики и потенциальных возможностей осуществления угроз, создаваемых определенными потенциальными злоумышленниками;
• требования к механизмам, реализующим выбранную схему управления (администрирования) техническими средствами защиты информации.
Необходимо отметить, что если защищаемая информация подпадает под формальные признаки, то при разработке требований к технологии защиты информации должны быть учтены соответствующие формализованные требования к механизмам защиты (в частности, для защиты от НСД, регламентируемые документами [4, 5, 6, 7]).
2.6. Взаимодействие субъектов с целью формирования, задания и контроля разграничительной политики доступа к ресурсам.
При этом определяется:
• порядок назначения и изменения прав доступа субъекта к ресурсу;
• порядок их задания в конфигурационных файлах средств технической защиты;
• порядок контроля за выполнением субъектами заданных разграничений и порядок принятия решений при обнаружении фактов НСД;
• порядок проведения регламентных работ, инсталляции ПО и т.д.
2.7. Инструкции всех субъектов доступа к защищаемой информации, где должны быть определены их права, обязанности, ответственность за нарушение разграничительной политики доступа.
Данные инструкции должны быть доведены (за подписью) до каждого субъекта доступа к защищаемой информации, т.к. невозможно обеспечить защиту, не формализовав их возможные действия и ответственность за НСД к информации.
3. Защита от НСД
Должны быть регламентированы все организационные мероприятия, реализуемые с целью защиты информации:
— порядок контроля доступа в помещения;
— порядок работы с внешними носителями (выдача пользователям, хранение, утилизация) и др.
Организационные меры должны рассматриваться в совокупности с возможностями (требованиями) средств технической защиты и соответствующим образом их дополнять.
Политика информационной безопасности — это та основа, без которой невозможно приступать ни к выбору, ни к проектированию средств защиты информации, в том числе добавочных.
Невозможно в общем случае сказать, какое средство защиты лучше (при прочих равных условиях таких как: надежность функционирования, производительность и т.д.). Следует лишь говорить, какое средство в большей мере удовлетворяет требованиям, формализуемым политикой информационной безопасности.
К примеру, если политикой регламентируется схема централизованного администрирования механизмов защиты (в качестве потенциального злоумышленника рассматривается пользователь), то в этом случае не подходят средства защиты, встроенные в современные универсальные ОС, а также ряд средств добавочной защиты, использующих встроенные в ОС механизмы (в частности, механизм управления доступом).
Следовательно, прежде всего, следует разработать политику информационной безопасности, а уже с ее использованием приступать к разработке, либо к выбору из представленных на рынке технических средств защиты информации.
Однако здесь существует противоречие, состоящее в следующем: с одной стороны, политика информационной безопасности выставляет требования к системе защиты, с другой стороны, может она быть реализована только на основе тех возможностей (механизмов защиты), которые реализуются системой защиты. То есть именно система защиты является центральным звеном, определяющим возможности защиты информации в организации.
При разработке политики информационной безопасности организации возможны следующие пути решения:
1. осуществление доработки выбранного средства защиты в части выполнения ими сформулированных требований;
2. выполнение (по возможности) данных требований организационными мерами. Здесь главное — не свести все к абсурду, например, если рассматривать для ОС Windows NT/2000/XP в качестве потенциального злоумышленника пользователя, то с учетом того, что пользователь может запустить любую программу с внешнего устройства ввода, т.е. получает инструментарий преодоления системы зашиты, в качестве организационных мероприятий может быть предусмотрено использование компьютеров без внешних устройств ввода);
3. пересмотр политики информационной безопасности (если это возможно) с учетом возможностей выбранного средства защиты информации.
Сделано это должно быть таким образом, чтобы не выполняемые системой защиты требования не выдвигались в качестве основных требований к обеспечению информационной безопасности (однако это не должно привести к ослаблению защиты информации).
При разработке политики информационной безопасности организации возникает резонный вопрос: а может ли случиться так, что разработанный в организации профиль защиты принципиально не достижим, либо, наоборот, реализуется с большой избыточностью (это тоже плохо, т.к. в данном случае необоснованно снижается производительность, повышается цена системы защиты и т.д.)?
Гипотетически подобное возможно. Это обусловлено тем, что встроенные в современные универсальные ОС механизмы защиты еще весьма далеки от совершенства, а добавочные средства защиты на отечественном рынке еще не столь широко представлены, чтобы обеспечить всевозможные профили защиты, потребность в которых может возникнуть на практике.
Вместе с тем отметим, что если в полном объеме политику информационной безопасности обеспечить техническими средствами защиты не удается, должны быть выделены «слабые» места защиты и выработаны соответствующие организационные мероприятия по возможной локализации потенциально опасных для системы защиты угроз.
Система защиты информации от несанкционированного доступа является ключевым звеном политики информационной безопасности, которая в своей основе базируется именно на механизмах технической защиты информации. Обоснованный выбор средства защиты для установки в корпоративной сети организации может быть осуществлен только на основе анализа при совпадении требуемого профиля защиты и профиля защиты, реализуемого системой зашиты, в частности добавочной.
Поэтому выбор системы защиты, равно как и разработка политики информационной безопасности, в общем случае является взаимосвязанной итерационной процедурой.
Мероприятия по обеспечению безопасности информации при их обработке в информационных системах включают в себя:
определение угроз безопасности информации при их обработке, формирование на их основе модели угроз;
разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем;
проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
учет лиц, допущенных к работе с защищаемой информацией в автоматизированной информационной системе;
контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
разбирательство и составление заключений по фактам несоблюдения условий хранения носителей с защищаемой информацией, использования средств защиты информации, которые могут привести к нарушению конфиденциальности защищаемой информации или другим нарушениям, приводящим к снижению уровня защищенности
информации, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
Источник: