АйТи Спектр

Система защиты информации. Основные средства обеспечения

Опубликовано 28.03.2022
photo
Алексей Прунов
Технический директор компании «АйТи Спектр»
Время прочтения - 4 мин
Задать вопрос

Защита информации — что это

Любой важной информации необходимо обеспечить достаточную защиту. Для этого проводят различные мероприятия по сохранению базовых элементов — целостности, доступности, конфиденциальности. Чтобы система защиты информации работала, необходимо организовать доступ к важным сведениям только ограниченной категории лиц, подтверждать истинность данных, а также исключить возможность их перехвата и искажения. Из нашей статьи вы узнаете, какие существуют угрозы безопасности и какие способы применяют специалисты для защиты информации.

Угрозы безопасности

Когда говорят об угрозах безопасности данных, подразумевают реальные или потенциальные риски, способные пробить брешь в ИБ и привести к утечке важных сведений. Действия пользователей, атакующих систему информационной безопасности, могут быть случайными либо умышленными.

Угрозы доступности

Ключевое правило — доступ к важным данным только определенному кругу лиц.

Часто доступности информации случайными действиями угрожают сотрудники организации, выступая потенциальными злоумышленниками. Они вводят неверные сведения, допускают системные ошибки. Таким образом они намечают брешь в ИБ, создавая хакерам благоприятные условия. Способами защиты выступают введение административного контроля и автоматизация процессов. Но вместе с этим необходимо ликвидировать слабые места:

  • Обучить сотрудников правилам обращения с информсистемой и корректному ведению рабочих процессов.
  • Организовать качественную техподдержку.
  • Ввести контроль за соблюдением правил работы в организации и ответственность за порчу оборудования.
  • Создать грамотный ИТ-отдел или обратиться к аутсорсинговой компании. 
ИТ-отдел

Угрозы целостности

Ключевое правило — невозможность порчи сведений.

Главным образом целостности информации угрожают подлог и кража. Обычно этим занимаются сами недобросовестные сотрудники компании. Они вводят некорректные данные и изменяют их, дублируют, дополняют, не выполняют необходимые действия и т. д.

Угрозы конфиденциальности

Ключевое правило — защита данных от несанкционированного доступа.

Злоумышленники разными способами узнают пароли и проникают в хранилища информации в момент, когда пользователь уверен, что сведения надежно защищены. Что может быть источником угрозы:

  • Хранение многоразовых паролей в источниках, к которым могут подобраться злоумышленники.
  • Применение идентичных паролей в разных системах.
  • Использование хакерами технических инструментов — прослушек и особого софта.
  • Презентации оборудования с секретными данными.
  • Размещение информации в резервных хранилищах.
  • Распространение сведений по большому количеству каналов, что облегчает перехват.
  • Оставление оборудования без присмотра (злоумышленник может подсмотреть пароль или похитить физическое хранилище информации).
  • Злоупотребление сотрудниками своими полномочиями.

Система защиты информации

Сегодня систему защиты информации принято составлять из трех элементов: объекта, угрозы, защиты.

Объект

Объект — то, что нужно защищать (сами данные, их носитель или процесс передачи).

В качестве основного признака выделяют наличие конфиденциальной информации. В рамках закона защищают как саму информацию, так и помещения, территории, здания, информресурсы. К носителям конфиденциальных сведений относят:

  • людей, т. к. пользователи в своей памяти могут хранить, накапливать и анализировать секретную информацию;
  • документацию, т. к. она представляет собой зафиксированные на физических носителях достоверные сведения в переработанном и компактном виде (особенно подписанные и утвержденные материалы);
  • публикации специалистов с новой и особо ценной информацией;
  • технические носители — диски, электронные хранилища, распечатанные сведения, фото- и видеоматериалы;
  • системы обеспечения функционирования организаций — громкоговорители, пожарные и охранные механизмы, телевизоры, автоматизированные системы обработки сведений, радиоприемники, усилительные инструменты, телефоны и т. д.;
  • отходы производства, которые содержат информацию о примененных материалах, их составе, технологиях использования.

Угроза

Угроза — это факторы и условия, которые ведут к реальным либо потенциальным опасностям нарушения ИБ.

К ним относят различные действия, явления либо процессы, способные повлечь за собой утечку, потерю либо искажение данных. Источником угрозы выступает субъект — человек, физическое явление либо материальный предмет, спровоцировавший возникновение опасности. Вред в этом случае всегда наносится избирательно и предсказуемо (у специалистов всегда есть возможность обнаружить слабые места системы безопасности). Затраты организации оценивают в пределах стоимости расходов на устранение последствий возникшей угрозы или на предупреждение ее наступления.

Реальная угроза проявляется в четко обозначенном мотиве субъекта, желающего нанести вред. В этом случае сложно определить, достаточно ли у злоумышленника средств и сил, чтобы воплотить свои планы. Потенциальная угроза заключается в существовании факторов и условий, способных привести к возникновению опасности. Здесь возможность нанесения вреда может оценить только сам субъект угрозы.

Защита

Защита — это деятельность по предупреждению утечки важных данных, а также умышленных и случайных воздействий на охраняемые сведения.

Правильно созданная система защиты данных обеспечивает информационную безопасность всей организации, гарантирует доступность, целостность и конфиденциальность важных сведений. Поэтому комплекс мероприятий необходимо ориентировать на выявление и предотвращение угроз, а также своевременное и полное устранение последствий действий злоумышленников.

Обеспечение защиты информации

Все методы защиты информации обычно используют в виде комплексных мероприятий, поскольку отдельный способ не даст достаточный уровень безопасности.

  1. Организационно-правовые средства. Различные инструменты, применяемые в ходе выстраивания ИТ-инфраструктуры, обеспечивающей хранение данных — при построении и ремонте зданий и помещений, проектировании систем. К ним относят действующие стандарты и договоры (в т. ч. международные).
  2. Инженерно-технические средства. Базовые инструменты, отвечающие за физическую безопасность. Это — защита от несанкционированного доступа, перехвата и прослушивания информации, стихийных бедствий, пожаров, контроль деятельности и передвижения сотрудников и другие меры.
  3. Криптографические средства. Шифрование информации при ее хранении и передаче. Криптография помогает обеспечить конфиденциальность и подтвердить подлинность данных, сохранить их целостность и запретить доступ посторонним лицам к программному обеспечению.
  4. Программно-аппаратные средства. Это разнообразные инструменты, которые позволяют идентифицировать сотрудников, зашифровать сведения, просигнализировать о несанкционированном входе, уничтожить данные на носителях. Аппаратные средства встраивают в оборудование (различные схемы, регистры), физические реализуют в виде электронно-механических устройств (магнитные замки, камеры наблюдения), а в качестве программных применяют специальный софт.
Защита информации

Государственная система защиты информации

В России действует около сотни ГИС (государственных информационных систем) федерального и регионального значения. Если компания работает с такими системами, то она в обязательном порядке соблюдает требования к защите сведений, которые в них прописаны. Условия использования каждой ИС различаются, как и наказание за игнорирование правил. Система защиты компании, подключенной к ГИС, подлежит аттестации и использует для обеспечения безопасности только те инструменты, которые сертифицированы ФСТЭК либо ФСБ.

Часто случаются ситуации, когда оператор (лицо, которое использует информационную систему и обрабатывает содержащиеся в ней сведения) по ошибке определяет систему как ГИС. В этом случае организация должна выполнять более жесткие условия безопасности, чем те, что по сути предписаны ей законом. В результате применяют избыточные защитные мероприятия. Но, с другой стороны, не всегда ясно, относится ли система к ГИС. И, если это так, а оператор не понял, то неизбежно внимание органов контроля и наложение штрафов.

Заключение

Высшую степень защиты обеспечат только комплексные меры. К примеру, наиболее действенным методом выступает криптография. Но и она не закроет все слабые места, если не будет применяться вместе с другими методами — программно-аппаратными, инженерно-техническими и организационно-правовыми. Поэтому руководитель должен понимать, что обеспечение защиты информации — это очень серьезное мероприятие, требующее участия специалистов. Компания «АйТи Спектр» готова помочь вам в этом, а также оказать множество других востребованных IT-услуг.

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 5 / 5. Количество оценок: 2

Оценок пока нет. Поставьте оценку первым.

Оставить комментарий

Заказать звонок
+
Жду звонка!