Иб: средства защиты
Содержание:
- Какие результаты должны быть достигнуты
- Для чего предпринимаются попытки доступа к чужой информации
- Одни из самых известных шифров
- Обеспечение информационной безопасности
- Риски возникающие при не защищенном использовании интернета
- Средства криптографической защиты информации
- Средства защиты информации
- Организационно-техническая составляющая информационной безопасности
- Что такое информационная безопасность
- Виды защиты информации
- Основные защитные средства от несанкционированного доступа
- Задачи по защите информации
- Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»
- Средства обнаружения и предотвращения вторжений
- СЗИ, чтобы отвечать требованиям
- Разграничения доступа на примерах Access и MySQL
- Нормативная основа
- СЗИ от несанкционированного доступа
- Все по порядку
- Комплексные меры по защите информации
Какие результаты должны быть достигнуты
Грамотное использование систем защиты информации позволяет добиться благоприятных результатов:
- уменьшить риски утраты репутации и потери денежных средств;
- исключить потери научных разработок, интеллектуальной собственности, личных данных;
- снизить затраты на мероприятия по защите информации, исключению постороннего доступа к ценным сведениям.
Также служба ИБ должна настроить политики безопасности для всех подразделений и сотрудников, работающих с конфиденциальной информацией разного типа:
- финансовая документация;
- клиентские базы данных;
- научные и технологические разработки, другая интеллектуальная собственность;
- сведения, составляющие банковскую тайну;
- персональная информация сотрудников или иных лиц.
Каждый сотрудник должен иметь возможность работать только с информацией, необходимой ему для выполнения трудовых обязанностей. Это исключает недобросовестное использование сведений, утечку или копирование данных с враждебными целями.
Несанкционированный доступ к информации возможен в любой системе – от небольших организаций до крупных государственных структур. Внимательное отношение к защите сведений, создание подразделений информационной безопасности позволяют минимизировать потери и предотвратить попытки хищения или копирования данных
Отдельное внимание следует уделять работе с авторизованными сотрудниками, имеющими доступ к критической информации. Меры защиты должны быть приняты заблаговременно, поскольку уступить инициативу – значит допустить потерю данных.
Для чего предпринимаются попытки доступа к чужой информации
Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных.
Возможные способы использования полученных сведений:
- перепродажа третьим лицам;
- подделка или уничтожение (например, при получении доступа к базам должников, подследственных, разыскиваемых лиц и т. п.);
- использование чужих технологий (промышленный шпионаж);
- получение банковских реквизитов, финансовой документации для незаконных операций (например, обналичивания денег через чужой счет);
- изменение данных с целью навредить имиджу компании (незаконная конкуренция).
Конфиденциальная информация представляет собой эквивалент денежных средств. При этом для самого владельца сведения могут ничего не значить. Однако ситуация постоянно меняется, и данные могут внезапно приобрести большое значение, и этот факт потребует их надежной защиты.
Вы знаете, сколько конфиденциальных документов хранится в файловой системе вашей компании? Проведите быстрый и точный аудит с помощью «СёрчИнформ FileAuditor».
Одни из самых известных шифров
Шифр Цезаря
Шифр Виженера
Одним из самых древних и самых известных шифров является – шифр Цезаря. В этом шифре каждая буква заменяется на другую, расположенную в алфавите на заданное число позиций k вправо от нее. Алфавит замыкается в кольцо, так что последние символы заменяются на первые. Шифр Цезаря относится к шифрам простой подстановки, так как каждый символ исходного сообщения заменяется на другой символ из того же алфавита. Такие шифры легко раскрываются с помощью частотного анализа, потому что в каждом языке частоты встречаемости букв примерно постоянны для любого достаточно большого текста.
Значительно сложнее сломать шифр Виженера, который стал естественным развитием шифра Цезаря. Для использования шифра Виженера используется ключевое слово, которое задает переменную величину сдвига. Шифр Виженера обладает значительно более высокой криптостойкостью, чем шифр Цезаря. Это значит, что его труднее раскрыть — подобрать нужное ключевое слово. Теоретически, если длина ключа равна длине сообщения, и каждый ключ используется только один раз, шифр Виженера взломать невозможно.
Обеспечение информационной безопасности
Существует пять уровней защиты информации:
- Законодательный – на уровне законов, норм, актов и т. д.
- Административный – на уровне администрации предприятия.
- Аппаратно-программный – на уровне специальных программ и устройств.
- Физический – на уровне электронно-механических препятствий для проникновения нарушителей.
- Морально-этический – на уровне норм поведения, престижа как одного человека, так и целой организации.
Только комплекс таких мер, которые будут направлены на устранение угрозы безопасности, образуют систему защиты информации.
Система управления информационной безопасностью должна соответствовать таким критериям, как:
- Сумма потраченных средств на защиту должна быть меньше, чем предполагаемый ущерб.
- Защита эффективна тогда, когда с ней просто работать.
- В экстренных случаях должна просто отключаться.
- Пользователи не должны иметь много привилегий для работы.
- Специалисты, работающие с системой, должны полностью в ней разбираться.
- Те, кто разрабатывал систему, не должны входить в число контролируемых.
Объекты защиты должны быть разделены на группы чтобы при нарушении одной не страдали остальные. Но при этом стоит помнить, что защите подлежит вся система обработки информации, а не её отдельные части.
При установке системы защиты, она должна прежде протестирована и согласованна, так же должны быть получены доказательства её эффективности.
стандартов
Лица, работающие с системой, несут полную ответственность за сохранение конфиденциальности. Механизмы, осуществляющие защиту информации, должны быть скрыты от пользователей
Риски возникающие при не защищенном использовании интернета
Перечислить, какие именно могут возникнуть опасности, если защита информации в сети интернет не организована или организована плохо — практически невозможно.
Каждый отдельный случай — это обычно совокупность, зачастую самое неприятное сочетание нескольких факторов.
Их краткий список можно сформулировать так:
- получение несанкционированного доступа к информации;
- кража критически важных данных;
- подмена или намеренное изменение информации в хранилище или непосредственно при передаче;
- злонамеренное удаление важных данных;
- разглашение конфиденциальной информации после получения доступа к ней различными методами;
- намеренное шифрование данных с целью последующего шантажа, вымогательства.
При организации системы мер по сохранению данных, которые будут тщательно читывать все законы о защите информации в интернете — стоит понимать существующие проблемные зоны.
Сохранение корпоративной информации методом её выкупа у злоумышленников
Одна из них относится к человеческому фактору, другая касается методик передачи, третья формулирует схему организации хранения.
Средства криптографической защиты информации
Эти СЗИ защищают уже не доступ к информации, а ее саму — с помощью криптографии. То есть, вся она передается в зашифрованном виде и декодируется с помощью криптографических ключей. Без них злоумышленник не сможет понять смысла данных, даже если перехватит их. Вот два примера:
- КриптоПро CSP. Алгоритмы криптографии здесь отвечают требованиям ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая». Есть сертификаты соответствия ФСБ России.
- КриптоАРМ. Еще одно решение с сертификатами соответствия ФСБ России. Шифрование здесь также соответствует требованиям ГОСТ 28147-89.
Средства защиты информации
В отличие от методов — средства защиты информации рассматривают более узкие области ответственности. Они разделяются на работу с материальными, информационными, трудовыми ресурсами.
Физические
Физические методы крайне схожи с созданием препятствий как общего принципа действия.
Однако существует конкретизация разделения принимаемых мер.
- Для предотвращения доступа и одновременного обеспечения безопасности персонала физические методы заключены в разработке путей эвакуации, установке специальных противопожарных дверей, систем оконного заграждения.
- С целью контроля доступа в помещения используются идентификаторы трудовой единицы.
- Предусматривается установка надежных противопожарных систем для предотвращения потерь данных вследствие пожара.
Физические защитные методы предусматривают контроль периметра, обеспечение бесперебойного питания оборудования, работу систем оповещения.
Система защиты серверной комнаты в случае пожара
Или же систем пожаротушения.
Психологические
Психологические средства расширяют методики побуждения. Они заключены не только в формировании личной заинтересованности и положительной мотивации.
В комплекс психологических мер включается карьерная лестница, создание социальных лифтов, сетки поощрений.
Восхождение на карьерную лестницу
Хорошие результаты приносит и организация хорошего отдыха персонала, например, корпоративные путевки на курорты, тематические экскурсии, туры выходных дней для укрепления морали и сплоченности коллектива.
Организационные
Организационные методы защиты информации — это своеобразный сплав из управления, принуждения, регламентации.
В список включается:
- разработка инструкций, касающихся проведения тех или иных процедур работы с данными;
- формирование общих должностных инструкций;
- разработка системы наказаний, норм ответственности за нарушения;
- реализация мер, призванных повысить уровень знаний и умений персонала.
Реализация организационных методов защиты позволяет добиться полного умения работников обращаться с информацией, выполнять нормированный список обязанностей, четко осознавать возможные последствия тех или иных нарушений.
Законодательные
Правовые методы защиты информации описывают множество вариантов поведения людей или организации в целом при обращении с теми или иными данными. В частности, самым знакомым среднестатистическому гражданину — является процесс хранения личных сведений.
Иные механики обращения — приняты в компьютерных системах. В частности, пароль доступа является секретным и известным только конкретному пользователю, не может разглашаться, так далее.
Правовые методы защиты могут регламентироваться как законами государства, так и формироваться в пределах оказания отдельной услуги или на время выполнения договора. В этом случае конкретный список прав, разрешений, запрещенных действий — утверждается документально.
Заключение коллективного договора
Аналогичный процесс может реализовываться в разрезе предприятия или компании. Утверждающими документами при этом является коллективный договор, договор подряда, должностные инструкции.
Организационно-техническая составляющая информационной безопасности
Вначале определим объекты защиты. Ими являются:
- речевая информация;
- данные, передающиеся техническими средствами.
В защите нуждаются как основные техсредства и системы (ОТСС), задействованные в работе с защищаемыми данными, так и вспомогательные техсредства и системы (ВТСС), а также заранее определенные помещения.
Организационная защита информации состоит в своде правил, составленных на основе правовых актов РФ, призванных предотвратить неправомерное овладение конфиденциальными данными.
Организационный метод обеспечения информационной безопасности имеет следующие составляющие:
- создание режима охраны информации;
- разработка правил взаимоотношений между сотрудниками;
- регламентация работы с документами;
- правила использования технических средств в рамках существующего правового поля РФ;
- аналитическая работа по оценке угроз информационной безопасности.
Защита информационной инфраструктуры от несанкционированного доступа обеспечивается регламентацией доступа субъектов (работников) к объектам (носителям данных и каналам их передачи). Организационный метод обеспечения информационной безопасности не подразумевает использования технического инструментария. Такая информационная безопасность зачастую состоит, например, в удалении ОТСС за периметр охраняемой территории на максимально возможное расстояние.
Применение же технического оборудования и различных программ для обеспечения информационной безопасности, включая системы управления базами данных, прикладное ПО, различные шифровальщики, DLP-системы и SIEM-системы, исключающих утечки данных через компьютерную сеть, относится к техническому методу обеспечения информационной защиты.
«СёрчИнформ КИБ» сочетается с SIEM-решениями. Комбинация продуктов усиливает защиту данных в компании.
Оба метода взаимодополняемы и называются организационно-техническими (например, проведение специальных проверок технических средств и помещений на предмет обнаружения сторонних устройств, предназначенных для фиксирования и передачи информации). Организационно-технические мероприятия в обязательном порядке должны соответствовать правовым методам обеспечения информационной безопасности, предписанным нормативными документами РФ.
Политика информационной безопасности разрабатывается с учетом существования множества подсистем, включая:
- подсистему предоставления доступа;
- подсистему регистрации и учета;
- подсистему по обеспечению безопасности за счет использования шифров.
Главные правила успешной системы информационной безопасности:
- перманентность действия установленных правил;
- полнота принимаемых мер;
- комплексность;
- согласованность;
- результативность.
Что такое информационная безопасность
Уровень защиты сетевых операционных систем позволяет сохранять данные, противостоять угрозам и атакам, несанкционированному доступу в сеть. Тем не менее говорить об исключительной, универсальной системе средств защиты информации не приходится. Возникают ситуации, когда она дает сбой, и устройства оказываются уязвимыми для проникновения.
Информационная безопасность заключается в обеспечении ряда факторов:
- защищенности сведений от неавторизованного создания, частичной или полной потери;
- конфиденциальности;
- гарантии доступа для авторизованных пользователей.
В отдельных областях (банковской, финансовой, государственном управлении, оборонной и правоохранительной) требуется создание дополнительной, более надежной, системы обеспечения безопасности информации.
Виды защиты информации
Применяются четыре основных вида защиты информации от несанкционированного доступа:
- Организационные мероприятия;
- Технические средства;
- Программные средства;
- Шифрование.
Организационные мероприятия
Включают в себя:
- пропускной режим;
- хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.);
- ограничение доступа лиц в компьютерные помещения и т.д.
Технические средства
Включают в себя:
- фильтры, экраны на аппаратуру;
- ключ для блокировки клавиатуры;
- устройства аутентификации – для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.;
- электронные ключи на микросхемах и т.д.
Программные средства
Включают в себя:
- парольный доступ – задание полномочий пользователя;
- блокировка экрана и клавиатуры с помощью комбинации клавиш в утилите Diskreet из пакета Norton Utilites;
- использование средств парольной защиты BIOS – на сам BIOS и на ПК в целом и т.д.
Шифрование
Шифрование — это преобразование (кодирование) открытой информации в зашифрованную, не доступную для понимания посторонних.
Шифрование применяется в первую очередь для передачи секретной информации по незащищенным каналам связи. Шифровать можно любую информацию — тексты, рисунки, звук, базы данных и т.д.
Человечество применяет шифрование с того момента, как появилась секретная информация, которую нужно было скрыть от врагов. Первое известное науке шифрованное сообщение — египетский текст, в котором вместо принятых тогда иероглифов были использованы другие знаки.
Основные защитные средства от несанкционированного доступа
Такие методы могут быть административными и техническими. Грамотные организационные меры вкупе с эффективными программными средствами позволяют создать надежный механизм защиты информации от злоумышленников.
Защиту информации можно обеспечить посредством внедрения архитектурно-планировочных решений, позволяющих защитить критичные помещения от прослушивания, и определения разных уровней доступа к секретным данным.
Чтобы регламентировать деятельность персонала, можно оформить запрос на доступ к Сети, внешней электронной почте и другим ресурсам. Это позволит контролировать действия внутренних пользователей. Защиту информации, передаваемой по электронным каналам, усиливает использование электронной цифровой подписи.
К административным средствам защиты информации также относят организацию:
- физической охраны ИС;
- аутентификации пользователей;
- разграничения доступа к защищаемым компонентам;
- регистрации всех обращений к данным под защитой.
Рабочие ПК предпочтительно размещать в надежно запираемых помещениях. В рабочее время за компьютерами должны наблюдать ответственные сотрудники, в частности, не оставлять ПК без парольной защиты, когда покидают рабочее место. При обработке конфиденциальной информации в офисе могут находиться только лица, допущенные к этому процессу.
Владелец ИС должен удостовериться в том, что у рядовых пользователей есть доступ только к тем ресурсам (массивам информационных данных), которые нужны им для работы.
Идентификация достоверно определяет легитимность всех обращений пользователей к ИС. Она проводится на этапе входа пользователя в ОС.
Для этого применяются следующие методы, обеспечивающие защиту информации:
- вход по учетной записи;
- вход по индивидуальным физиологическим характеристикам (отпечатки пальцев, тембр голоса, сетчатка глаза, лицо);
- вход с применением радиокодовых устройств;
- вход с использованием электронных носителей.
Вход по учетной записи. Каждый зарегистрированной пользователь в системе, получает личный логин и пароль, которые обязан хранить в тайне и вводить при каждом обращении к ИС. Логин и пароль посредством специального ПО сравниваются с эталонами. Если вводные данные совпадают, пользователь получает доступ под защитой.
Очевидным достоинством этого способа является простота, недостатком – возможность утери или подбора логина и пароля. К тому же существует вероятность несанкционированного проникновения в область хранения эталонных паролей.
Вход по биометрическим данным. Биометрия считается одним из самых надежных методов защиты от НСД, но пока он не получил широкого распространения из-за необходимости специальной аппаратуры и соответствующего программного обеспечения, гарантирующего защиту.
Существуют, однако, и методы обхода биометрической защиты. Например, систему распознавания лиц, которая используется в смартфонах, журналист Forbes сумел обойти с помощью гипсового слепка головы.
Вход с применением радиокодовых устройств. Идентификация по радиокодовым устройствам предполагает использование механизмов, способных передавать радиосигналы с персональными свойствами. ПК оборудуется программно-аппаратными средствами приема, регистрации и обработки сигналов. Каждый пользователь получает такое приспособление, а его параметры заносятся в запоминающее устройство средств защиты.
Минус этого метода идентификации в том, что похищение такого механизма дает правонарушителю потенциальную возможность НСД.
Вход с использованием электронных носителей. В этом случае используются специальные карточки с данными, которые позволяют быстро идентифицировать сотрудника, вошедшего в офис или защищенный кабинет. Информация вносится на носитель в зашифрованном виде. Ключ кодирования известен только владельцу карточки либо сотруднику, который отвечает за обеспечение информационной безопасности в компании. Также возможно уничтожение ключа сразу после использования. ИС должна быть оснащена устройствами считывания информации с карточки. Этот способ часто находит применение в крупных территориально распределенных сетях, например, в автоматизированных банковских системах.
Уязвимость этого метода идентификации в том, что потеря карточки владельцем открывает доступ в помещения посторонним.
Задачи по защите информации
Информация имеет свойства, изменение которых приводит к утрате ее ценности. В законодательстве об охране данных к ним относят:
- конфиденциальность – недоступность третьим лицам;
- целостность или неизменность предполагает, что изменить данные могут только лица, имеющие допуск;
- доступность означает, что необходимые данные будут в распоряжении пользователя, доступ к информации не будет ограничен из-за аппаратных проблем или вирусов-шифровальщиков.
Дополнительно выделяется свойство достоверности. Оно рассматривается как точность и правильность, и задача IТ-специалиста – повысить достоверность данных различными методами.
Это реализуется следующими способами:
- Информационный выражается в добавлении контрольных разрядов (дополнительного бита данных, превращающего 8-битный код в 9-битный), что позволяет проверить точность данных, и в добавлении дополнительных операций обработки данных. Это позволяет обнаружить и устранить ошибки в данных.
- Временный. Процедуры контроля применяются не единожды, а несколько раз на протяжении определенного времени.
- Структурный. Создание резервного хранилища данных, структурный сквозной контроль, реализуемый на всех этапах обработки информации и позволяющий найти ошибку на наиболее ранних этапах.
Меры защиты информации в АИС применяются и ко всему объему данных, обрабатываемых в организации, и к отдельным блокам, отличающимся по степени ценности данных.
Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»
Во-первых, от компании уходят клиенты – вероятнее всего конкурентам кто-то слил клиентскую базу.
Во-вторых, очевидная перемена в поведении некоторых сотрудников: внезапное улучшение материального положения, снижение заинтересованности в работе, активизировавшаяся переписка в интернете, частая пересылка графических или запароленных архивированных файлов.
В-третьих, «кучкование». Так, в одной компании 30 из 40 сотрудников, которые занимались заключением договоров, сговорившись, зарегистрировали собственную организацию и фактически работали на нее. Сотрудники предлагали клиентам, с которыми напрямую общались, те же услуги, но немного дешевле и перезаключали с ними договоры уже от имени собственной организации.
Средства обнаружения и предотвращения вторжений
Эти СЗИ мониторят и анализируют множество данных в корпоративной сети, чтобы вовремя обнаружить факт несанкционированного доступа. Примеры:
- ViPNet IDS. Здесь вторжения в сеть обнаруживаются с помощью динамического анализа сетевого и прикладного трафика стека протоколов TCP/IP. У ViPNet IDS есть сертификат ФСТЭК России и сертификаты ФСБ России.
- «Рубикон». Подходящее решение, если нет ресурсов для профессиональной настройки. Интерфейс понятен и не требует глубоких знаний. Есть маршрутизатор с поддержкой мандатных меток, возможность построения однонаправленных шлюзов и многое другое.
СЗИ, чтобы отвечать требованиям
Такие системы могут понадобиться и для выполнения различных требований со стороны регуляторов. Например, ФЗ-152, 719-П, ГОСТ и других. Вот примеры таких решений:
- «КИТ-Журнал». СЗИ, которая поможет выполнять требования приказа ФАПСИ №152 и ПКЗ-2005. Система автоматизации учета и процессов информационной безопасности поможет правильно вести соответствующие документы. Есть функции разграничения прав доступа, а интерфейс — привычный и удобный. Есть традиционные планировщик задач, электронная подпись, автоматизация действий и многое другое.
- TimeInformer. СЗИ, которая пригодится, если для отчетности нужно точно знать, какие ресурсы в интернете посещают сотрудники в течение рабочего дня. Из программы можно выгрузить подробные отчеты с аналитикой рабочего времени, установленному на компьютерах ПО и другой информацией. Одним из главных достоинств программы является ее незаметность — она не снижает скорость работы компьютеров сотрудников.
- Контур информационной безопасности SearchInform может быть хорошим выбором, если вы ищете именно российское решение, которым пользуются множество известных компаний в России и зарубежных странах. У этого решения есть все нужные сертификаты, и им пользуются такие компании, как Банк «Открытие», Газпромнефть, Тройка-Диалог, МТТ и многие другие. Среди множество функций есть даже «Выявление инсайдеров в компании».
Разграничения доступа на примерах Access и MySQL
Защита базы данных на уровне пользователя аналогична способам разграничения прав пользователей локальных сетей. В Access создают несколько рабочих групп, разделенных по интересам. Работа доступна одновременно с одной из баз данных. Можно параллельно работать в разных системах Access, если открыть их в отдельных окнах.
Файл рабочей группы создается автоматически. Он содержит информацию об учетной записи каждой группы или отдельного пользователя. Сохранение данных о правах доступа ведется по каждой учетке отдельно.
Рабочая группа состоит из двух групп:
- администратор;
- пользователи.
В случае необходимости возможно создание более двух групп пользователей данных. Один и тот же человек может состоять одновременно в разных группах. Каждому из сотрудников можно присвоить разные пароли.
Администратор получает максимальное число привилегий, группа пользователей работает в соответствии с их уровнем доступа.
Формы и отчеты Access можно защитить двумя способами:
1. Чтобы исключить случайное повреждение пользователем приложения, исключается использование режима Конструктора.
2. Скрытие некоторых полей таблицы от пользователей.
Таким образом появляется возможность контролировать использование секретных данных сотрудниками и ограничить доступ к ним посторонних. Расширить права пользователя или группы могут лишь админ и владелец информации (создатель). Имеется возможность передачи базы данных и прав на нее другому владельцу.
Одним из вариантов внедрения безопасной системы авторизации и регистрации является MySQL. Управление сервером происходит через Интернет с помощью РhpMyAdmin. Первый уровень защиты – это вход в БД через логин и пароль. Далее СУБД MySQL разграничивает права доступа. Доступ ограничивается как к системе управления, так и к каждому компоненту БД (таблица, строка, запись и т.п.). Владельцы БД имеют возможность шифровать информацию.
Нормативная основа
Все информационные массивы делятся на две основные группы:
- подлежащие защите в соответствии с федеральными законами;
- подлежащие защите в соответствии с внутренней политикой организации.
К первым относятся данные, содержащие государственную тайну и иные сведения, предусмотренные федеральными законами. Это персональные данные сотрудников и клиентов, защищаемые в соответствии с Законом «О персональных данных». Их бесконтрольное распространение может нанести ущерб личности и ее безопасности. К этой группе сведений относится и банковская тайна, которая охраняется на основании закона «О банках и банковской деятельности», и некоторые другие. Утечка этих сведений способна привести к финансовому ущербу для клиентов, который может быть переложен на виновника в регрессном порядке.
При работе организации со сведениями, содержащими государственную тайну, находящимися, например, в некоторых государственных контрактах, требуется соблюдение специальных режимов защиты информации, это предусмотрено законом «О государственной тайне». Соответствие системы безопасности организации требованиям, предъявляемым к работе с такими сведениями, подтверждается лицензией, выдаваемой органами ФСБ. Ее должно получать большинство компаний, участвующих в тендерах. Для ее получения система мер защиты от утечек будет проверена на соответствие всем требованиям аттестационным центром. Порядок выдачи лицензии регулируется Постановлением Правительства № 333.
Коммерческая и профессиональная тайна организации, представляющая интерес для ее конкурентов, охраняется в соответствии с нормами Гражданского и Трудового кодекса и внутренними нормативно-правовыми актами компании. Чаще всего она представляет интерес для конкурентов компании, которые могут использовать ее в борьбе за преимущества на рынках сбыта, но может она иметь и самостоятельную ценность для преступных группировок.
Создание ситуации для хищения информации или само преступление преследуются в соответствии с Уголовным кодексом, в котором содержится статья 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».
СЗИ от несанкционированного доступа
Чтобы защитить сеть и данные от посторонних, такие СЗИ идентифицируют и аутентифицируют устройства и пользователей, регистрируют работу процессов и программ, управляют информационными потоками между устройствами, сканируют носители информации и делают множество других вещей. Вот два примера таких СЗИ:
- Dallas Lock. Разработана для операционных систем Windows. Можно подключить аппаратные идентификаторы. Из возможностей — поддерживает виртуальные среды, аудит действий пользователей, контроль целостности файловой системы, программно-аппаратной среды, реестра и многое другое.
- Электронный замок «Соболь». Поддерживает доверенную загрузку и доверенную программную среду. Есть функции регистрации попыток доступа, сторожевого таймера и многого другого. Имеет сертификаты соответствия ФСТЭК и ФСБ.
Все по порядку
Рассматривая, какие существуют способы защиты информации, необходимо особенное внимание уделить организационным. В их число входят регламенты, контролирующие, как будут работать исполнители, каким возможно взаимодействие между заинтересованными лицами, дабы оно было связано с минимальными факторами риска
Учитывается база законов, нормативных актов, требований, действительных для нашей державы и текущего времени.
Посредством организационных методов и способов защиты информации можно либо полностью исключить овладение сведениями лицами, не имеющими на то права, либо существенно усложнить для них эту задачу. Защищенная таким образом конфиденциальная информационная база в равной степени убережена и от угроз извне, и от внутренних.
Комплексные меры по защите информации
Говоря о защите конфиденциальных данных, нельзя обойти стороной использование комплексного подхода. Практика показывает, что делая ставку только на одну из систем нельзя добиться 100% защищенности информации. Неудивительно, что сегодня системы технических средств, направленных на контроль за информацией, постоянно совершенствуются.
В дорыночный период существования нашей страны производство представляло собой систему замкнутых структур, которая обеспечивала своеобразную защиту информации от утечки, хотя они все равно происходили. Тотальный контроль и отсутствие взаимодействия с западными учеными замедляли научно-технический прогресс. Многие инновационные на тот период времени проекты так и не были реализованы из-за отсутствия взаимодействия ведомств между собой.
Конечно, в условиях капиталистического рынка нельзя реализовывать такую защиту, поскольку компания должна иметь возможность рекламировать свою продукцию, приоткрывая тем самым завесу тайны. Однако активное использование средств инженерной технической защиты информации снижает риск причинения ущерба компании.
Подводя итоги об инженерно-технической защите информации, стоит заметить, что не все предприятия оснащены эффективной системой противодействия хищению данных. Своевременное внедрение современных комплексов и инженерно-технических систем защиты информации позволяет свести утечки к минимуму, обеспечив эффективное функционирование организации.