Защита информации подразумевает совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей
Конфиденциальность — свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процесса.
Целостность — свойство, при выполнении которого информация сохраняет заранее определенные вид и качество. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Статическую целостность можно разделить на понятия целостности данных и целостности информации.
Доступность — такое состояние информации, когда она находится в виде и месте, необходимом пользователю, и в то время, когда она ему необходима.
Главной целью КСЗИ является обеспечение непрерывности бизнеса, устойчивого функционирования коммерческого предприятия и предотвращения угроз его безопасности.
КСЗИ направлена на:
1. Защиту законных интересов организации от противоправных посягательств.
2. Охрану жизни и здоровья персонала.
3. Недопущение:
- хищения финансовых и материально-технических средств;
- уничтожения имущества и ценностей;
- разглашения, утечки и несанкционированного доступа к служебной информации;
- нарушения работы технических средств обеспечения производственной деятельности, включая информационные технологии.
задачи:
- прогнозирование, своевременное выявление и устранение угроз безопасности персоналу и ресурсам коммерческого предприятия, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
- отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов — к различным уровням уязвимости (опасности), подлежащих сохранению;
- создание механизма и условий оперативного реагирования на угрозы безопасности проявления негативных тенденций в функционировании предприятия;
- эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями
- физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности предприятия.
основных принципах:
Принцип системности требует применения системного подхода в качестве методологической базы при анализе и синтезе комплексной системы защиты информации.
Принцип комплексности предполагает, что система защиты предприятия должна включать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и действий по обеспечению безопасности персонала, материальных и финансовых средств от возможных угроз всеми доступными законными средствами, методами и мероприятиями.
Принцип своевременности означает, что меры защиты не должны «запаздывать».
Принцип непрерывности предполагает непрерывный целенаправленный процесс защиты информации на всех этапах жизненного цикла систем предприятия.
Принцип разумной достаточности подразумевает выбор достаточного уровня защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
Принцип простоты применения состоит в том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.
Можно выделить три направления работ по созданию КСЗИ:
- методическое, в рамках которого создаются методологические компоненты КСЗИ, разрабатывается замысел ее построения, прорабатываются правовые вопросы;
- организационное, в ходе которого разрабатываются распорядительные документы, проводится обучение и инструктаж персонала и т.п.;
- техническое, заключающееся в выборе, закупке и инсталляции программных, программно-аппаратных и аппаратных средств защиты информации.
Основными этапами работ по созданию КСЗИ являются:
- Обследование организации.
На стадии обследования организации:
- устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой КСЗИ, оценивается уровень конфиденциальности и объемы;
- определяется наличие аттестованных помещений, средств защиты от утечки по техническим каналам;
- определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;
- изучаются принятые в организации правила бумажного документооборота;
- анализируется возможность использования имеющихся на" рынке сертифицированных средств защиты информации;
- определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
- определяются мероприятия по обеспечению режима секретности на стадии разработки.
2. Проектирование системы защиты информации.
При проектировании системы информационной безопасности могут быть охвачены как все три уровня защиты — организационный, технический и программно-аппаратный, так и исключительно технический уровень.
3. Внедрение системы защиты информации.
4. Сопровождение системы информационной безопасности.
5. Обучение специалистов по защите информации. Обучение руководителей служб безопасности